お客様がパスワードを忘れた場合に Oauth トークンを取り消す必要があるかどうか
1811 次
1 に答える
5
パスワードを変更する理由の 1 つは、他の誰かが自分のアカウントにアクセスしたことにユーザーが気付いた場合です。この場合、以前のパスワードでアクセスし、OAuth を使用してアクセス トークンを取得した攻撃者は、ユーザーがパスワードを変更してこれを防いだにもかかわらず、引き続きアカウントにアクセスできます。
たとえば、あいまいな理由 (脆弱なパスワード、トロイの木馬など) により、GMail アカウントがハッキングされ、スパムの送信に使用されました。攻撃者はGoogle の IMAP with OAuth 機能を使用し、有効なアクセス トークンを取得しました。どういうわけか、彼らがあなたの名前でスパムを送信していることに気づき、パスワードを変更しました。攻撃者はまだ有効なアクセス トークンを持っているため、スパムを送信し続けることができます。
トークンの取り消しは、ユーザーがパスワードを変更する理由とは無関係である必要があります。彼が変更した場合は、すべてのトークンを取り消して、もう一度サインアップさせてください。
于 2012-07-26T23:14:29.540 に答える