我对OAuth 2.0用户凭据授权类型和可能的安全攻击有几个安全问题。因此,据我所知,到目前为止,当我通过HTTPS交换我的用户用户名密码客户端ID和客户端密钥时,访问令牌是完全安全的。现在举个例子,如果我有一个第一方移动应用程序用于进行用户身份验证的服务,并且我将访问令牌保留在设备上。
所以基本上我担心这种特定类型的补助可能存在安全漏洞。我很确定访问令牌是否没有受到损害,所有流量都通过SSL,它应该没问题。
我很想听听别人的专家意见,而不是最大的OAuth人。
答案 0 :(得分:1)
如果访问令牌受到威胁,现在拥有它的应用程序可能会滥用它。由于访问令牌是短暂的,并且仅映射到某些权限 - 损坏将限制为10分钟访问单个资源! (为范围注册的应用程序生成令牌,范围映射到权限。)
如果您正在使用第一方应用,为什么要将令牌存储在设备上?您可以考虑使用授权代码流而不是隐式授权流。这样,访问令牌始终与服务器一起使用,而不是在本地设备上。