twitterAPIでログインシステムを作成したい

ユーザー登録機能が付いたＷＥＢサービスを作成しております。
ユーザー登録はtwitter APIを使用した認証機能で行いたいと思います。

こちら様のサイトを拝見して、ユーザーの登録をログインまでの機能は追加したのですが、
cookieに値を保存して、ブラウザを閉じてもログイン状態になれる自動ログイン機能も追加したいと思っております。

その際に、cookieに値にいれる値として、
認証リクエストが成功した際に帰ってくる以下の値、
oauth_token、oauth_token_secret、user_id、screen_nameのどれかがあればユーザーを認識できるのですが、
これらを使用していいのかわかりません。

user_id、screen_nameは誰でも知ることが出来るためありえないとして、
oauth_tokenもしくはoauth_token_secretをcookieに入れて自動ログインすることで、何か懸念される要素はありますでしょうか。
要はこれらの値がログインする本人以外が知ることができる情報なのかが分かりません。
本人以外は取得できない情報なら、これらをcookieに入れて、自動ログインを行いたいと思います。

どなたかご教示お願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

基本的にcookieで渡される情報は信用できないと思った方が良いかと思います。
またcookieで保存された情報は他人に見られる可能性（マシンへの直接アクセスなど）があります。
oauth情報をcookieに保存することで、他人にエンドユーザーのTwitterを使われる可能性が出てきます。
ですので、cookieにoauth情報を保存することは避けるべきです。

PHPを始め、多くの言語でセッション変数機能があります。
ログイン情報はセッション変数に入れて、cookieに保存される値はセッション機能で使われるセッションIDだけにするべきです（なりすまし・乗っ取りを避けられる）。

投稿2015/10/27 05:05