Authentication OAuth2用户凭据授予安全性_Authentication_Oauth_Oauth 2.0

Authentication OAuth2用户凭据授予安全性

authentication oauth oauth-2.0

Authentication OAuth2用户凭据授予安全性,authentication,oauth,oauth-2.0,Authentication,Oauth,Oauth 2.0,我有几个关于OAuth 2.0用户凭据授予类型和可能的安全攻击的安全问题。因此，据我目前所知，当我通过HTTPS交换用户用户名、密码、客户端ID和客户端机密以获得完全安全的访问令牌时。现在举一个例子，如果我有一个第一方移动应用程序，用于执行用户身份验证的服务，并且我将访问令牌保留在设备上如果访问令牌受到损害，则说明如何使用受损的访问令牌进行后续请求，例如API服务。除了不获取访问令牌之外，还有什么方法可以防止这种情况发生吗如果您通过HTTPS执行所有API请求，我就不必担心访问令牌会在网络上

我有几个关于OAuth 2.0用户凭据授予类型和可能的安全攻击的安全问题。因此，据我目前所知，当我通过HTTPS交换用户用户名、密码、客户端ID和客户端机密以获得完全安全的访问令牌时。现在举一个例子，如果我有一个第一方移动应用程序，用于执行用户身份验证的服务，并且我将访问令牌保留在设备上

如果访问令牌受到损害，则说明如何使用受损的访问令牌进行后续请求，例如API服务。除了不获取访问令牌之外，还有什么方法可以防止这种情况发生吗

如果您通过HTTPS执行所有API请求，我就不必担心访问令牌会在网络上受到破坏，或者担心任何重播攻击

因此，基本上我担心这种特殊类型的拨款可能存在安全漏洞。我很确定，如果访问令牌没有被破坏，并且所有流量都通过SSL传输，那么应该可以

我很想听听某人的专家意见，而不是最大的OAuth人。

如果访问令牌被泄露，现在拥有它的应用程序可能会滥用它。由于访问令牌的寿命很短，并且只映射到特定的权限-因此对单个资源的访问时间限制为10分钟！（为注册范围的应用程序生成令牌，范围映射到权限。）

如果您正在使用第一方应用程序，为什么要将令牌存储在设备上？您可以考虑使用授权代码流，而不是隐式授权流。这样，访问令牌始终与服务器在一起，而不在本地设备上。

我知道如果访问令牌被破坏，攻击者可以使用它。是的。我了解示波器的工作原理。我希望将访问令牌存储在设备上，而不是存储用户密码以进行身份验证。我想要一个本机登录，而不是重定向到网页以获取访问令牌，因此我使用密码授权。