标签: security oauth oauth-2.0
我正在为我的API提供OAuth 2.0,我开始怀疑被盗用的帐户。让我们调用我的服务A和客户服务B.
情景:
如果发生类似这样的情况,攻击者仍然无法通过B查看用户的私人信息,因为OAuth访问令牌在密码重置时未到期?
答案 0 :(得分:0)
我也同意你的想法。 OAuth2规范没有针对此的对策。但那里的供应商为此提供了各种对策。例如,用户仪表板,用户可以在其中查看当前持有授权的应用程序和设备。然后用户可以撤销任何可疑的应用程序。