Mi primera defcon, superó mis expectativas... dentro de un año va estar muy loca, en el Ballys + París

Pues por mi experiencia , python, porque tiene una gran comunidad en continuo desarrollo, es un lenguaje sencillo de aprender, y lo considero la navaja suiza tanto para automatización de procesos, desarrollo de webapps , integración continua, y sus multiples implementaciones (PyPy...).

Perl nunca lo he tocado sinceramente, Ruby trate de aprender pero pues me queda ahí jajajaj

Hola:

Recientemente tengo un proyecto en el cual expongo una Rest API, la debe ser accesada con el protocolo OAuth2, lo cual lleva a que se monte un servidor OAuth2 y se extiendan y revoquen tokens y permisos mediante 3 entrypoints expuestos en un webapp, todo eso ya tengo un PoC y funciona.

Pero me surgen las siguientes dudas con respecto a la seguridad:

- Conviene montar esa webapp en un subdominio totalmente diferente por ejemplo:
     - No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (servidor OAuth2)
     - No tienes permitido ver enlaces. Registrate o Entra a tu cuenta (REST API).

- ¿Los access_token generados deben de ir cifrados y guardados en cookie, o conviene generar una tabla para guardarlos y guardar los identificadores en cookies?

- Que aspectos de seguridad tengo que considerar:
    - escapar todos los inputs para evitar XSS.
    - meterle request_tokens para evitar CSFR.
    - HTTP_ONLY a las cookies.
    - HTTPS ... etc.

O si alguien a tenido experiencia montando su propio OAuth2 server, ¿Con qué cosas a batallado?

De antemano muchas gracias por sus consejos y/o experiencias.