保持OAuth的访问令牌秘密有多重要?

时间:2010-10-31 23:10:21

标签: oauth oauth-2.0

一旦我使用OAuth收到网站(比如facebook)的访问令牌,保密这个有多重要?如果有人拿到一个,可能会发生任何恶意吗?

我想知道将令牌保存在cookie或会话中是不是一个坏主意。

2 个答案:

答案 0 :(得分:3)

更新:如果您让用户连接javascript sdk,则用户ID和访问权限已存储在您网站的Cookie中。检查正在发送的http cookie。如果不是,请查看FB.Init文档,因为FB.Init有一个cookie布尔参数,您可以设置它以便为您创建一个名为fbs_ {APPID}的cookie。 This帖子谈到了这个cookie。

答案 1 :(得分:3)

是的,访问令牌等同于您的用户名/密码。

表示,大多数实现都会在一段时间后使访问令牌失效,但是当它仍然有效时,它必须保密。