1
我正在为我的API使用OAuth 2.0,我开始怀疑被盗用的帐户。让我们打电话给我的服务A和客户服务B.OAuth 2.0如何防范受损客户?
场景:
- 在用户的帐户comprmised
- 攻击者通过OAuth 2.0用户授权与B,允许利用B 查看私人信息
- 用户更改密码以保护帐户
如果发生类似情况,攻击者是否仍然能够通过B查看用户的私人信息,由于t o OAuth访问令牌在密码重置后不会过期?
A
回答
0
我也同意你的想法。 OAuth2规范没有对此采取对策。但是那里的供应商为此提供了各种对策。例如,用户仪表板可供用户查看当前持有授权的应用程序和设备。然后用户可以撤销任何可疑应用程序。从而使攻击者需要回得到一个新的,这是不可能的,如果密码已更改检索进入菜单B
相关问题
- 1. 如何保护Oauth 2.0客户端ID和客户端密钥
- 2. Facebook客户端OAuth 2.0问题
- 3. 客户端的OAuth 2.0定义
- 4. OAuth 2.0如何加密客户端ID和秘密
- 5. 如何删除Google App Engine OAuth 2.0客户端ID?
- 6. 如何正确配置Spring Security OAuth 2.0客户端凭证?
- 7. Google Oauth 2.0范围问题
- 8. oAuth 2.0适用于Google帐户的用户ID范围
- 9. Google OAuth 2.0服务帐户 - 日历API(PHP客户端)
- 10. 如何防止在OAUTH本机应用程序上损害用户凭据
- 11. Oauth 2.0:如何将用户信息传递给受保护资源(API Rest)
- 12. 防止oAuth 2.0 Google Drive凭据过期
- 13. OAuth客户端Java
- 14. 如何在纯客户端应用程序中从Google OAuth 2.0 API刷新access_token?
- 15. 如何使用OAuth 2.0客户端ID下载谷歌驱动器文件?
- 16. Google OAuth:无效客户端oauth客户端未找到
- 17. OAuth 2.0客户端ID在Django/tastypie实施
- 18. OAuth 2.0使用Google客户端JavaScript,获取权限被拒绝
- 19. OAuth 2.0 - 客户端密钥是否必须是“秘密”?
- 20. Google API控制台:创建OAuth 2.0客户端ID时出错
- 21. OAuth 2.0多个作用域(客户端凭据情况)
- 22. OAuth 2.0客户端ID有什么区别?
- 23. 的OAuth 2.0多对多委托客户机凭证流方案
- 24. 用于移动客户端的OAuth 2.0身份验证
- 25. 从YouTube客户端登录迁移到OAuth 2.0
- 26. 用于Oauth 2.0和ADfs身份验证的C#客户端库
- 27. 如何使用ASP.NET创建出一个客户端ID和一个客户端密钥的Oauth 2.0服务器?
- 28. 图像与Spring和假死客户受损
- 29. Twitter oAuth为客户网站
- 30. 如何防止libwebsockets客户端超时
和访问令牌应该是短暂的 –