登录 facebook oauth 访问令牌是不是安全?

Posted

技术标签:

【中文标题】登录 facebook oauth 访问令牌是不是安全?【英文标题】:Is it safe to log facebook oauth access tokens?登录 facebook oauth 访问令牌是否安全? 【发布时间】:2018-02-28 17:25:06 【问题描述】:

我在使用我的应用程序时遇到了难以重现 facebook 登录超时问题的问题,因此使用 facebook 打开了一张票。他们要求我从问题发生时向他们发送用户访问令牌。由于问题难以重现,我需要记录访问令牌,所以它会在我们的日志文件中,但也在我们的日志分析工具中,访问令牌在我们的日志文件和我们的分析工具中是否有风险,假设它不公开?

【问题讨论】:

【参考方案1】:

您不应记录访问令牌。任何有权访问令牌的人都可以暂时劫持这些帐户。

如果您遵循 Oauth 指南,您的访问令牌的寿命应该很短,从而降低了风险。然而,可能会因记录这些令牌而暴露的用户数量令人严重关切。

Oauth threat model 讨论了日志文件中访问令牌的威胁。

【讨论】:

【参考方案2】:

实际上他们说要始终确保访问令牌是安全的,所以我不会将其包含在日志文件中

【讨论】:

以上是关于登录 facebook oauth 访问令牌是不是安全?的主要内容,如果未能解决你的问题,请参考以下文章

使用 Firebase 登录 Facebook 导致无效 OAuth 访问令牌错误

Facebook 登录不起作用,错误:无效的 Oauth 访问令牌。它总是零

使用 Facebook iOS SDK 的 OAuth2 授权代码

强制注销facebook oauth

收到访问令牌后如何解释 oauth expires=4 位代码

Facebook 服务器端 oauth 令牌