OAuth 令牌安全性

Posted

技术标签:

【中文标题】OAuth 令牌安全性【英文标题】:OAuth token security 【发布时间】:2011-10-29 15:22:44 【问题描述】:

据我所知,OAuth 标准对 OAuth 的实际行为方式非常宽松,但是...

我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露,它们会被第三方使用吗?即,给定的令牌是否仅绑定到我的 api 和密钥?

【问题讨论】:

地址是什么意思?令牌与给定的服务和用户绑定。有了这些,你就可以假装是那个用户。 我的意思是IP地址。但我真正应该的意思是,它们可以与不同的 API 和密钥一起使用吗?我将编辑问题。 【参考方案1】:

令牌与给定的服务和用户绑定。有了这些,一个人就可以假装是那个用户。 例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以将其作为额外的预防措施,但这不是 OAuth 的一部分)。

如果他们被入侵,你会取消他们的授权,从而使他们一文不值。

它们可以与不同的 API 和密钥一起使用吗?

没有。访问令牌也与为其颁发的应用程序相关联。

这样,用户可以逐个应用取消授权,并且每个应用都可以拥有不同的权限集(例如只读访问权限)。

【讨论】:

以上是关于OAuth 令牌安全性的主要内容,如果未能解决你的问题,请参考以下文章

安全性 - JWT 和 Oauth2(刷新令牌)

安全存储 OpenID 标识符和 OAuth 令牌

通过OAuth 2.0令牌撤销提高帐户安全性

OWIN 安全 - 如何实现 OAuth2 刷新令牌

如何安全地存储 Discord(OAuth2) 用户的访问令牌?

登录 facebook oauth 访问令牌是不是安全?