8

据我所知,OAuth 标准对 OAuth 的真正行为方式非常宽松,但是......

我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露,它们会被第三方使用吗?即,给定的令牌是否仅绑定到我的 api 和密钥?

4

1 回答 1

7

令牌与给定的服务和用户绑定。有了这些,一个人就可以假装是那个用户。例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以将其作为额外的预防措施,但这不是 OAuth 的一部分)。

如果它们受到损害,您将取消它们的授权,从而使它们一文不值。

它们可以与不同的 API 和密钥一起使用吗?

不会。访问令牌也与为其颁发的应用程序相关联。

这样,用户可以逐个应用取消授权,并且每个应用都可以拥有一组不同的权限(例如只读访问)。

于 2011-08-18T09:49:23.427 回答