保持oauth_token免受窥探有多重要?例如,我应该避免在javascript中传递它并将其保存在php-land中,或者使用它是否相当无害?我试图弄清楚用户可以用它做些什么样的事情,但除了手动回复他们的请求并查找他们自己的信息之外,它似乎是相当无害的。
答案 0 :(得分:2)
oauth_token允许访问令牌绑定的帐户[1]。因此,必须对帐户所有者的其他任何人保密(并且可以向他透露)。
[1] Facebook使用OAuth2,而access_token单独允许使用API,而不使用OAuth使用者密钥/秘密。