我正在使用 GData 的 AuthSub,以便我的管理应用程序不需要存储用户/密码信息。我刚刚在文档中了解到如何将第一个一次性令牌交换为会话令牌(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken) . 然后这句话突然出现在我身上:
可以忽略失效日期,当前没有使用;会话令牌实际上不会过期。
有人愿意解释一下未过期的令牌如何不是安全问题吗?“有效不过期”的真正含义是什么?从理论上讲,如果恶意应用程序设法获得这些令牌之一,它是否可以继续使用它而不管密码是否更改?是否可以查看当前在 Google 帐户上发布了哪些会话令牌?
总之,我的妄想症已经占据了,我需要一个大聪明的人来安慰我!
编辑:您可以在https://www.google.com/accounts/IssuedAuthSubTokens手动撤销令牌