Authentication OAuth2用户凭据授予安全性

Authentication OAuth2用户凭据授予安全性,authentication,oauth,oauth-2.0,Authentication,Oauth,Oauth 2.0,我有几个关于OAuth 2.0用户凭据授予类型和可能的安全攻击的安全问题。因此,据我目前所知,当我通过HTTPS交换用户用户名、密码、客户端ID和客户端机密以获得完全安全的访问令牌时。现在举一个例子,如果我有一个第一方移动应用程序,用于执行用户身份验证的服务,并且我将访问令牌保留在设备上 如果访问令牌受到损害,则说明如何使用受损的访问令牌进行后续请求,例如API服务。除了不获取访问令牌之外,还有什么方法可以防止这种情况发生吗 如果您通过HTTPS执行所有API请求,我就不必担心访问令牌会在网络上

我有几个关于OAuth 2.0用户凭据授予类型和可能的安全攻击的安全问题。因此,据我目前所知,当我通过HTTPS交换用户用户名、密码、客户端ID和客户端机密以获得完全安全的访问令牌时。现在举一个例子,如果我有一个第一方移动应用程序,用于执行用户身份验证的服务,并且我将访问令牌保留在设备上

  • 如果访问令牌受到损害,则说明如何使用受损的访问令牌进行后续请求,例如API服务。除了不获取访问令牌之外,还有什么方法可以防止这种情况发生吗
  • 如果您通过HTTPS执行所有API请求,我就不必担心访问令牌会在网络上受到破坏,或者担心任何重播攻击
  • 因此,基本上我担心这种特殊类型的拨款可能存在安全漏洞。我很确定,如果访问令牌没有被破坏,并且所有流量都通过SSL传输,那么应该可以


    我很想听听某人的专家意见,而不是最大的OAuth人。

    如果访问令牌被泄露,现在拥有它的应用程序可能会滥用它。由于访问令牌的寿命很短,并且只映射到特定的权限-因此对单个资源的访问时间限制为10分钟!(为注册范围的应用程序生成令牌,范围映射到权限。)


    如果您正在使用第一方应用程序,为什么要将令牌存储在设备上?您可以考虑使用授权代码流,而不是隐式授权流。这样,访问令牌始终与服务器在一起,而不在本地设备上。

    我知道如果访问令牌被破坏,攻击者可以使用它。是的。我了解示波器的工作原理。我希望将访问令牌存储在设备上,而不是存储用户密码以进行身份验证。我想要一个本机登录,而不是重定向到网页以获取访问令牌,因此我使用密码授权。