如果客户通过忘记密码流并更改密码,是否应撤销Oauth令牌
答案 0 :(得分:5)
更改密码的一个原因是当用户注意到其他人有权访问其帐户时。在这种情况下,曾经使用旧密码访问并使用OAuth获取访问令牌的攻击者仍然可以访问该帐户,但用户更改了密码以防止这种情况发生。
E.g。由于某些不明原因(弱密码,木马等),您的GMail帐户被黑客攻击并用于发送垃圾邮件。攻击者使用Google's IMAP with OAuth feature并获得了有效的访问令牌。现在不知怎的,你注意到他们以你的名义发送垃圾邮件并且你更改了密码。攻击者仍然拥有有效的访问令牌,可以继续发送垃圾邮件。
撤销令牌应该与用户更改密码的原因无关。如果他改变它,你应该撤销所有令牌并让他再次注册。