Hei*_*erg 4 facebook oauth access-token
我遇到了一个问题,很难用我的应用程序重现 facebook 登录超时的问题,所以用 facebook 开了一张票。他们要求我从问题发生时向他们发送用户访问令牌。由于问题难以重现,我需要记录访问令牌,因此它会出现在我们的日志文件中,也会出现在我们的日志分析工具中,访问令牌出现在我们的日志文件和分析工具中是否有风险,假设它不是公开可用的?
您不应记录访问令牌。任何有权访问访问令牌的人都可以暂时劫持这些帐户。
如果您遵循 Oauth 指南,您的访问令牌应具有较短的生命周期,从而降低风险。尽管如此,可能会因记录这些令牌而暴露的用户数量令人严重关切。
Oauth 威胁模型中讨论了日志文件中访问令牌的威胁。
| 归档时间: |
|
| 查看次数: |
1581 次 |
| 最近记录: |