我们说我有一个用于OAuth 2.0身份验证的LinkedIn应用。该应用已选择了几个权限,并列出了列入白名单的重定向网址。让我们说我相信我的LinkedIn凭据是安全的,最近已被更改。此外,我没有理由怀疑任何恶意的人已经掌握了我的应用程序的客户ID或秘密。
但现在我需要回应假设:如果我认为客户机密被泄露了怎么办?
我对这种情况的回应是什么?攻击者使用客户端ID和密码可以做的最差,但是不能访问允许的重定向URL?
制作新应用程序会很痛苦,因为我必须再次通过审批流程才能获得完整的个人资料许可。听起来这可能需要数周才能完成。我是否能安全地接受"妥协"客户端秘密几周,然后部署更新以在新应用准备就绪时使用它?