1
我正在为我的API使用OAuth 2.0,我开始怀疑被盗用的帐户。让我们打电话给我的服务A和客户服务B.OAuth 2.0如何防范受损客户?
场景:
- 在用户的帐户comprmised
- 攻击者通过OAuth 2.0用户授权与B,允许利用B 查看私人信息
- 用户更改密码以保护帐户
如果发生类似情况,攻击者是否仍然能够通过B查看用户的私人信息,由于t o OAuth访问令牌在密码重置后不会过期?
我正在为我的API使用OAuth 2.0,我开始怀疑被盗用的帐户。让我们打电话给我的服务A和客户服务B.OAuth 2.0如何防范受损客户?
场景:
如果发生类似情况,攻击者是否仍然能够通过B查看用户的私人信息,由于t o OAuth访问令牌在密码重置后不会过期?
我也同意你的想法。 OAuth2规范没有对此采取对策。但是那里的供应商为此提供了各种对策。例如,用户仪表板可供用户查看当前持有授权的应用程序和设备。然后用户可以撤销任何可疑应用程序。从而使攻击者需要回得到一个新的,这是不可能的,如果密码已更改检索进入菜单B
和访问令牌应该是短暂的 –