OAuth 令牌安全性

【问题标题】:OAuth token securityOAuth 令牌安全性
【发布时间】:2011-10-29 15:22:44
【问题描述】:

据我所知,OAuth 标准对 OAuth 的实际行为方式非常宽松,但是...

我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露,它们会被第三方使用吗?即,给定的令牌是否仅绑定到我的 api 和密钥?

【问题讨论】:

  • 地址是什么意思?令牌与给定的服务和用户绑定。有了这些,你就可以假装是那个用户。
  • 我的意思是IP地址。但我真正应该的意思是,它们可以与不同的 API 和密钥一起使用吗?我将编辑问题。

标签: security oauth access-token


【解决方案1】:

令牌与给定的服务和用户绑定。有了这些,一个人就可以假装是那个用户。 例如,它不与任何 IP 地址或设备 UUID 绑定(尽管可以将其作为额外的预防措施,但这不是 OAuth 的一部分)。

如果他们被入侵,你会取消他们的授权,从而使他们一文不值。

它们可以与不同的 API 和密钥一起使用吗?

没有。访问令牌也与为其颁发的应用程序相关联。

这样,用户可以逐个应用取消授权,并且每个应用都可以拥有不同的权限集(例如只读访问权限)。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2018-09-02
    • 2016-01-19
    • 1970-01-01
    • 2018-02-28
    • 2010-12-25
    • 2019-08-31
    • 2016-07-20
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode