如果客户经历忘记密码流程并更改密码,是否应该撤销 Oauth 令牌
问问题
1811 次
1 回答
5
更改密码的一个原因是当用户注意到其他人可以访问他的帐户时。在这种情况下,曾经使用旧密码访问并使用 OAuth 获取访问令牌的攻击者仍然可以访问该帐户,尽管用户更改了密码以防止这种情况发生。
例如,由于某些不明原因(密码弱、木马等),您的 GMail 帐户被黑客入侵并用于发送垃圾邮件。攻击者使用带有 OAuth 功能的 Google IMAP并获得了有效的访问令牌。现在不知何故,您注意到他们以您的名义发送垃圾邮件,您更改了密码。攻击者仍然拥有有效的访问令牌,并且可以继续发送垃圾邮件。
撤销令牌应该与用户更改密码的原因无关。如果他更改它,您应该撤销所有令牌并让他重新注册。
于 2012-07-26T23:14:29.540 回答