7
據我所知,OAuth的標準是怎樣的OAuth真的應該表現得十分寬鬆,但...的OAuth令牌安全
我存儲在數據庫中的各種服務的OAuth OAuth訪問令牌。如果這些令牌受到損害,他們是否可以被第三方使用?也就是說,只有我的api和密鑰才能綁定給定的令牌嗎?
A
回答
6
令牌與給定的服務和用戶綁定。有了這些,就可以假裝成爲那個用戶。 例如,它不受任何IP地址或設備UUID限制(儘管可以將其作爲額外的預防措施,但這不是OAuth的一部分)。
如果他們被破壞,你會取消他們的授權,從而使他們毫無價值。
它們可以與不同的API和密鑰一起使用嗎?
不可以。訪問令牌也綁定到他們發佈的應用程序。
這樣用戶可以按應用程序進行取消授權,並且每個應用程序都可以具有不同的權限集(例如只讀訪問權限)。
相關問題
- 1. 顯示OAuth訪問令牌安全嗎?
- 2. Salesforce安全令牌
- 3. 的Web API的OAuth承載令牌安全
- 4. 春季安全的Oauth 2重定向行爲對/的OAuth /令牌
- 5. Dropbox OAuth令牌
- 6. 如何存儲oauth令牌和其他網站安全信息?
- 7. 安全地將OAuth令牌與javascript客戶端進行通信
- 8. 無法達到/ oauth /令牌彈簧安全性爲休息api
- 9. 如何在Android中安全地保存Oauth訪問令牌
- 10. 將Oauth令牌安全地存儲在文件中
- 11. 安全令牌處理
- 12. CSRF令牌春季安全
- 13. WIF安全令牌緩存
- 14. 會話令牌安全parse.com
- 15. 安全地保存令牌?
- 16. csrf令牌,安全問題?
- 17. Oauth被吊銷的令牌
- 18. 的OAuth 2訪問令牌
- 19. 無效的OAuth令牌
- 20. 亞馬遜從安全令牌服務的AWS請求令牌
- 21. Firebase FCM令牌作爲Android的安全令牌
- 22. Spring STOMP基於令牌的安全性
- 23. 使用令牌的安全Web API
- 24. IsInRole獲取新的安全令牌
- 25. 豐富的Azure ACS安全令牌
- 26. 基於令牌的Web服務安全
- 27. 令牌分配ICO的安全審計
- 28. 來自安全令牌的RETURNURL
- 29. Sharepoint 2010中的安全令牌服務
- 30. MobileFirst安全檢查中的用戶custome可以撤消OAuth令牌嗎?
你是什麼意思的地址?令牌與特定服務和用戶綁定。有了這些,就可以假裝成爲那個用戶。 – Thilo
我的意思是ip地址。但是,我真的應該這意味着什麼,他們可以使用不同的API和密鑰?我將編輯該問題。 –