Hen*_*aul 8 security oauth access-token
据我所知,OAuth标准对OAuth的真实行为方式非常宽松,但......
我为数据库中的各种OAuth服务存储OAuth访问令牌.如果这些令牌受到损害,他们是否可以被第三方使用?即,给定的令牌是否仅限于我的api和密钥?
令牌与给定的服务和用户相关联.有了这些,人们可以假装成那个用户.例如,它不依赖于任何IP地址或设备UUID(尽管可以将其作为额外的预防措施,但这不是OAuth的一部分).
如果他们受到了损害,你就会取消他们的授权,从而使他们毫无价值.
它们可以与不同的API和密钥一起使用吗?
不可以.访问令牌也与发布的应用程序相关联.
这样,用户可以逐个应用程序取消授权,并且每个应用程序可以具有不同的权限集(例如,只读访问权限).
| 归档时间: |
|
| 查看次数: |
1862 次 |
| 最近记录: |