あなたはあなたが説明する攻撃で正しいです。意図したとおりに使用するには、更新トークンを安全に保管する必要があります。私が理解しているように、あなたはスタンドアロンアプリケーションを構築しています。したがって、ファイルシステムのセキュリティを利用して、権限のないユーザーが更新トークンをコピーするのを防ぐことができます。更新トークンにも暗号化を使用することもできますが、キーはローカルマシンでのユーザーのセッションにバインドする必要があります(そうでない場合、ユーザーはアプリケーションのために「サインイン」プロセス中にキーを提供する必要があります更新トークンを復号化するため)。
OAuth WGのスレッドを読むことを検討してください。このスレッドでは、説明されているものと同様の問題について説明し、ガイダンスを提供してい ます。https ://www.ietf.org/mail-archive/web/oauth/current/msg02292.html
更新トークンはアクセスを取得するために使用されます(このプロセスにはHTTP基本認証が必要です)。したがって、ユーザーがあなたの(id、secret)の組み合わせを持っていない限り、彼はそれについて多くを行うことはできません。ただし、更新トークンの保存は非常に真剣に検討する必要があります。
これが私の2セントです:
トークンをDBに保存します
更新トークンを使用してアクセストークンを取得する場合は常に、更新トークンもリセットしてください。(Oauth2.0にはこの機能があり、更新トークンを変更しないようにすることもできますが、セキュリティの観点からは、トークンを変更してDBを更新し続けるのが賢明です)
これがいくつかの洞察を与えることを願っています!!
あなたはあなたの懸念について正しいです-あなたはリフレッシュトークンを保存するべきではありません。そうすることで、クライアントのデータを危険にさらします(そして、その理由を知っています。質問にそれを書きました)。oAuthはこのように機能することは想定されていません。更新トークンをメモリ内に保持する必要があります。