0

保护 oauth_token 免受窥探有多重要?例如,我应该避免在 javascript 中传递它并将其仅保留在 php-land 中,还是方便地使用它是无害的?我试图弄清楚用户可以用它做什么邪恶的事情,但除了手动回复他们的请求和查找他们自己的信息之外,它似乎是相当无害的。

4

1 回答 1

2

oauth_token 允许访问令牌绑定到的帐户 [1]。因此,必须对其他任何人保密该帐户的所有者(并且可以向他披露)。

[1] Facebook 使用 OAuth2,仅 access_token 允许使用 API,无需 OAuth 消费者密钥/秘密。

于 2011-08-16T19:54:24.910 回答