Oauth 如果攻击者获得应用程序'；客户的秘密是什么？

我在网上搜索了很多，但没有用。我想知道，如果攻击者获得谷歌Oauth2应用程序的客户端id和客户端机密，他会怎么做。比如他能看到什么信息？他可以编辑应用程序配置吗？他能看到别人的信息吗

我以前没有使用过Oauth2.0，所以请简单回答

谢谢

我想知道如果攻击者获得客户端id，他会怎么做 还有谷歌Oauth2应用程序的客户端密码

必须保护OAuth 2客户端机密。但是，如果泄漏，攻击者还需要一个项目。一个有效的重定向uri。如果攻击者同时拥有这两个（公共）客户端ID，则它们可能能够为您的帐户生成OAuth令牌

重定向uri通常对有效，因为开发人员在开发完成后忘记删除此uri。这意味着有人可以运行本地服务器并生成OAuth令牌。这是一个很大的安全漏洞

他们可以用OAuth令牌做什么？取决于

比如他能看到什么信息？他能编辑这个应用程序吗 配置？他能看到别人的信息吗

您没有指定谁的OAuth系统，它授权什么，等等。因此答案是“这取决于”

对于谷歌云，黑客将需要在谷歌云中授权的人的凭据。有些系统的安全性非常差，所以正如他们所说的，任何事情都可能发生，而且往往在安全性设计糟糕的情况下发生

在一个设计合理的系统中，黑客需要通过几个层次。拥有客户机机密有很大帮助，但不是完全的安全失败。黑客只能通过系统进行身份验证。需要突破下一层，即授权。在一个设计正确的系统中，黑客需要向具有授权权限的用户进行身份验证。如果黑客有这个，那么你就有大麻烦了。他可能有做任何他想做的事情的钥匙。再说一次，这要视情况而定