OAuth 令牌安全性

Posted 2023-03-10

【中文标题】OAuth 令牌安全性

【英文标题】：OAuth token security

【发布时间】：2011-10-29 15:22:44

【问题描述】：

据我所知，OAuth 标准对 OAuth 的实际行为方式非常宽松，但是...

我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露，它们会被第三方使用吗？即，给定的令牌是否仅绑定到我的 api 和密钥？

【问题讨论】：

地址是什么意思？令牌与给定的服务和用户绑定。有了这些，你就可以假装是那个用户。

我的意思是IP地址。但我真正应该的意思是，它们可以与不同的 API 和密钥一起使用吗？我将编辑问题。

【参考方案1】：

令牌与给定的服务和用户绑定。有了这些，一个人就可以假装是那个用户。 例如，它不与任何 IP 地址或设备 UUID 绑定（尽管可以将其作为额外的预防措施，但这不是 OAuth 的一部分）。

如果他们被入侵，你会取消他们的授权，从而使他们一文不值。

它们可以与不同的 API 和密钥一起使用吗？

没有。访问令牌也与为其颁发的应用程序相关联。

这样，用户可以逐个应用取消授权，并且每个应用都可以拥有不同的权限集（例如只读访问权限）。