更改密码的一个原因是用户注意到其他人有权访问其帐户.在这种情况下,曾经使用旧密码访问并使用OAuth获取访问令牌的攻击者仍然可以访问该帐户,但用户更改了密码以防止这种情况发生.
例如,由于一些不明原因(弱密码,木马等),您的GMail帐户被黑客入侵并用于发送垃圾邮件.攻击者使用Google的IMAP和OAuth功能,并获得了有效的访问令牌.现在不知怎的,你注意到他们以你的名义发送垃圾邮件并且你更改了密码.攻击者仍然拥有有效的访问令牌,可以继续发送垃圾邮件.
撤销令牌应该独立于用户更改密码的原因.如果他改变它,你应该撤销所有令牌并让他再次注册.
| 归档时间: |
|
| 查看次数: |
1738 次 |
| 最近记录: |