La respuesta rápida es que almacenar los tokens de autorización de texto sin formato en una base de datos no es un problema, pero hay algunos otros aspectos que son más críticos para mantener a salvo los tokens (y su uso).
Asegúrese de que oauth_consumer_key
(clave de aplicación) y oauth_token
(token de autorización) nunca se envíen o almacenen en el lado del cliente (el navegador de los usuarios, el teléfono, etc.). Esto significa que las solicitudes al Proveedor de servicios (Flickr) siempre deben realizarse desde un servidor que tenga acceso a la base de datos y luego los datos recibidos de los datos del Proveedor de servicios se pueden reenviar al cliente. Si almacena la clave y el token en el lado del usuario, entonces podrán suplantar su aplicación y acceder a datos restringidos.
Para asegurar la clave y los tokens durante la solicitud de su servidor a Flickr, realice la solicitud como POST a través de HTTPS. De esta manera, un intruso no puede tener acceso a sus fichas mientras están en camino a Flickr.
Proteja su base de datos, no cifrando los tokens, sino asegurándose de que no sea posible ningún acceso no autorizado a la base de datos. Si su base de datos se ve comprometida (por ejemplo, inyección de SQL, cualquier otra inyección), las medidas anteriores no tienen ningún efecto. Esto es algo bueno que hacer en general, y lo aconsejo sobre usted cifrando los tokens en la base de datos.
Fuentes: OAUTH v1.0 y API de autenticación de Flickr .