1
OAuth憑證撤回應該如果客戶經過一個忘記密碼的流動,改變他的密碼用於忘記密碼
Q
用於忘記密碼
A
回答
4
一個原因更改密碼的OAuth憑證被撤銷是當用戶注意到別人不得不訪問他帳戶。在這種情況下,曾經訪問舊密碼並使用OAuth獲取訪問令牌的攻擊者仍然可以訪問該帳戶,儘管用戶更改了密碼以防止出現這種情況。
E.g.由於某些不明確的原因(弱密碼,特洛伊木馬等),您的GMail帳戶被黑客入侵併用於發送垃圾郵件。攻擊者使用Google's IMAP with OAuth feature並獲得有效的訪問令牌。現在不知何故,你注意到他們發送垃圾郵件的名字,你改變你的密碼。攻擊者仍然擁有有效的訪問令牌,並且可以繼續發送垃圾郵件。
撤銷令牌應該獨立於原因,爲什麼用戶更改他的密碼。如果他改變它,你應該撤消所有的令牌,並讓他再次註冊。
相關問題
- 1. 忘記密碼
- 2. CakePHP忘記密碼
- 3. 忘記密碼URL
- 4. 忘記密碼Codeigniter3
- 5. 忘記密碼邏輯
- 6. CakePHP 2.4忘記密碼
- 7. 在軌道忘記密碼
- 8. 忘記我的密碼git
- 9. 忘記了密碼VBA
- 10. apache mysql忘記密碼
- 11. Drupal忘記了密碼
- 12. Firebase忘記密碼域名
- 13. 忘記密碼在webapp
- 14. 忘記mysql root密碼
- 15. 藍牙忘記密碼
- 16. XSS在忘記密碼
- 17. PHP管理忘記密碼
- 18. OmniAuth +身份忘記密碼
- 19. CakePHP忘記/重置密碼
- 20. Android忘記密碼功能
- 21. laravel 5.4忘記密碼
- 22. 忘記SVN用戶密碼的XCode?
- 23. ASP.NET會員用戶忘記密碼
- 24. 忘記用流星中LDAP的密碼
- 25. SFHFKeychainUtils「忘記」我的用戶密碼
- 26. CodeIgniter Ion_Auth ::忘記密碼不起作用
- 27. 發送密碼,如果用戶忘記
- 28. 忘記密碼並記住我?
- 29. 如何重置忘記的sa密碼?
- 30. PHP MSQLI忘記密碼重置頁面