OAuth 令牌安全性
Posted
技术标签:
【中文标题】OAuth 令牌安全性【英文标题】:OAuth token security 【发布时间】:2011-10-29 15:22:44 【问题描述】:据我所知,OAuth 标准对 OAuth 的实际行为方式非常宽松,但是...
我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露,它们会被第三方使用吗?即,给定的令牌是否仅绑定到我的 api 和密钥?
【问题讨论】:
地址是什么意思?令牌与给定的服务和用户绑定。有了这些,你就可以假装是那个用户。 我的意思是IP地址。但我真正应该的意思是,它们可以与不同的 API 和密钥一起使用吗?我将编辑问题。 【参考方案1】:令牌与给定的服务和用户绑定。有了这些,一个人就可以假装是那个用户。 例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以将其作为额外的预防措施,但这不是 OAuth 的一部分)。
如果他们被入侵,你会取消他们的授权,从而使他们一文不值。
它们可以与不同的 API 和密钥一起使用吗?
没有。访问令牌也与为其颁发的应用程序相关联。
这样,用户可以逐个应用取消授权,并且每个应用都可以拥有不同的权限集(例如只读访问权限)。
【讨论】:
以上是关于OAuth 令牌安全性的主要内容,如果未能解决你的问题,请参考以下文章