【发布时间】:2014-10-27 15:51:02
【问题描述】:
随着使用 OAuth 2.0 身份验证的 Google's new API 的引入,开发人员能够设置刷新令牌,这要求最终用户只对应用程序进行一次身份验证。
开发人员可以为他/她的项目set a scope。对于刷新令牌 OAuth 设置,用户只需批准一次应用程序的身份验证,此后,Google 的服务器将使用刷新令牌处理重新身份验证。
根据开发人员最初指定的范围,同意屏幕将根据所选范围通知用户应用程序可以访问/修改的内容。请考虑 Stackoverflow 上的以下 Gmail 示例:
现在,如果开发人员在稍后阶段更改应用程序的范围,用户将不必重新批准身份验证,因为身份验证最初是基于刷新令牌设置的,或者应该是offline access。
用户最初仅批准“查看您的电子邮件地址”访问权限(例如)但现在,应用程序可能正在执行各种操作,包括修改访问权限、查看数据、联系人等,最初并未得到最终用户的批准
这在某种程度上是一个安全漏洞/隐私泄露,用户无法识别应用程序是否这样做。
有其他人注意到这种行为吗?这肯定不道德吗?
P.S.我使用 Stackoverflow 仅作为示例,我并没有指责这个网站这样做:)
【问题讨论】:
标签: security oauth-2.0 google-api