私の知る限り、OAuth標準は、OAuthが実際にどのように動作するかについては非常に緩いですが、...
さまざまなOAuthサービスのOAuthアクセストークンをデータベースに保存します。これらのトークンが侵害された場合、サードパーティによって使用される可能性がありますか?つまり、指定されたトークンは私のAPIと秘密鍵のみにバインドされていますか?
1899 次
1 に答える
7
トークンは、特定のサービスとユーザーに関連付けられています。それらを使用すると、そのユーザーのふりをすることができます。たとえば、IPアドレスやデバイスのUUIDに関連付けられていません(追加の予防策としてこれを行うことはできますが、それはOAuthの一部ではありません)。
それらが危険にさらされた場合、あなたはそれらを許可を取り消すでしょう、それでそれらを無価値にします。
それらを異なるAPIと秘密鍵で使用できますか?
いいえ。アクセストークンは、発行されたアプリケーションにも関連付けられています。
このようにして、ユーザーはアプリケーションごとに認証を解除でき、すべてのアプリに異なる権限のセット(読み取り専用アクセスなど)を設定できます。
于 2011-08-18T09:49:23.427 に答える