Quelle est la longueur de l'access_token dans Facebook OAuth2?

Avec le passage récent de Facebook aux jetons d'accès chiffrés, la longueur du jeton d'accès peut aller jusqu'à 255 caractères. Si vous stockez le jeton d'accès dans votre base de données, la colonne devrait pouvoir prendre en charge au moins varchar (255). Voici un extrait du blog des développeurs de Facebook du 4 octobre 2011:

"Avec la migration du jeton d'accès crypté activée, le format du jeton d'accès a été modifié. Le nouveau format du jeton d'accès est complètement opaque et vous ne devez utiliser aucune dépendance du format de votre code. A varchar (255) champ suffira pour stocker les nouveaux jetons. "

Article complet sur le blog ici: https://developers.facebook.com/blog/post/572

Cette réponse n'est plus correcte et je ne trouve pas de valeur corrigée dans la documentation de FB. Nous avons reçu des jetons d'accès de plus de 255 caractères. Nous passons de VARCHAR à un SMALLTEXT au lieu d'essayer de faire des choses à l'épreuve du temps.

De la section 1.4 de The OAuth 2.0 Authorization Protocol ( draft-ietf-oauth-v2-22 )

Les jetons d'accès peuvent avoir différents formats, structures et méthodes d'utilisation (par exemple, propriétés cryptographiques) en fonction des exigences de sécurité du serveur de ressources. Les attributs de jeton d'accès et les méthodes utilisées pour accéder aux ressources protégées sortent du cadre de la présente spécification et sont définis par des spécifications associées.

J'ai cherché le "cahier des charges" mais je n'ai rien trouvé de pertinent et à la section 11.2.2, il est indiqué

o Nom du paramètre: access_token
o Emplacement d'utilisation du paramètre: réponse d'autorisation, réponse de jeton
o Changer de contrôleur: IETF
o Document (s) de spécification: [[ce document]]

Ce qui semble indiquer que le paramètre access_token est défini dans cette spécification. Le paramètre est, je suppose, mais le jeton d'accès réel n'est pas complètement développé.

Mise à jour: la dernière version de cette écriture de la spécification ( draft-ietf-oauth-v2-31 ) inclut une annexe qui définit mieux ce à quoi s'attendre du paramètre access_token

A.12. Syntaxe "access_token"

The "access_token" element is defined in Section 4.2.2 and
Section 5.1:

  access-token = 1*VSCHAR

Cela signifie donc essentiellement que access_token doit comporter au moins un caractère, mais il n'y a pas de limite à la durée définie dans cette spécification.

Notez qu'ils définissent VSCHAR =% x20-7E

Le jeton d'accès à Facebook peut comporter plus de 255 caractères. J'ai eu beaucoup d'erreurs comme ActiveRecord::StatementInvalid: PG::StringDataRightTruncation: ERROR: value too long for type character varying(255) où la valeur était un jeton d'accès facebook. N'utilisez pas la colonne string type car sa longueur est limitée. Vous pouvez utiliser la colonne text type pour stocker les jetons.

Récemment, notre application les a vus depuis plus de 100 caractères. Je suis toujours à la recherche de documentation pour pouvoir déterminer une taille de champ "sûre" pour eux.

Je mettrai à jour la réponse à partir du temps passé.

À partir de la documentation OAuth2,

La taille de la chaîne de jeton d'accès n'est pas définie par cette spécification. Le client doit éviter de formuler des hypothèses sur la taille des valeurs. Le serveur d'autorisation doit documenter la taille de toute valeur émise.

(Section 4.2.2 de ce document )

Remarque: Facebook utilise OAuth2, comme indiqué sur cette page .

Alors maintenant, aucune information ne semble être disponible sur le portail des développeurs de Facebook sur la longueur du jeton OAuth. Yahoo semble utiliser un jeton de 400 bits, il est donc préférable de supposer qu'un TEXT La colonne dans MySQL est plus sûre qu'un varchar.