管理アプリケーションがユーザー/パスワード情報を保存する必要がないように、GDataのAuthSubを使用しています。ドキュメントで、最初の使い捨てトークンをセッショントークンと交換する方法を学びました(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken) 。そして、この声明は私に飛び出しました:
現在使用されていない有効期限は無視してかまいません。セッショントークンは事実上期限切れになりません。
有効期限が切れていないトークンがセキュリティの問題ではないことを誰かが説明してくれませんか?「事実上期限切れにならない」とは、実際にはどういう意味ですか?理論的には、悪意のあるアプリケーションがこれらのトークンの1つを取得できた場合、パスワードの変更に関係なく、引き続きそれを使用できますか?Googleアカウントで現在発行されているセッショントークンを確認することはできますか?
要するに、私の妄想は定着しました、そして私は私を慰めるために大きくて賢い人が必要です!
編集: https://www.google.com/accounts/IssuedAuthSubTokensでトークンを手動で取り消すことができます