据我所知,OAuth 标准对于 OAuth 真正应该如何表现非常宽松,但是......
我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露,它们是否可以被第三方使用?即,给定的令牌是否仅绑定到我的 api 和密钥?
令牌与给定的服务和用户绑定。有了这些,人们就可以假装是该用户。
例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以这样做作为额外的预防措施,但这不是 OAuth 的一部分)。
如果它们被泄露,您将取消它们的授权,从而使它们变得毫无价值。
它们可以与不同的 API 和密钥一起使用吗?
不会。访问令牌还与为其颁发的应用程序相关联。
这样,用户可以按应用程序取消授权,并且每个应用程序都可以拥有一组不同的权限(例如只读访问权限)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)