OAuth访问令牌可以用作公共ID吗？

Question

我的应用程序本质上是一个无状态代理服务器，它将从服务中获取的一些数据转换为不同的格式，并将其提供给用户。由于数据不是机密的，唯一的认证方法将是一个大的随机URL。不过，我需要存储以获取数据的OAuth访问令牌确实提供了一些write功能，我想避免泄漏。

我的问题是使用访问令牌作为URL上的公共标识符是否安全，并保持secret密钥受保护，或者如果我应该生成随机ID并将它们链接到令牌内部。

Answer 1

根据OAuth 1 spec，访问令牌在接收到它们时以及在访问与它们共享的资源时以纯文本（带有签名的请求）传递。因此，只要您不泄露您的任何秘密，将它们用作唯一标识符就不应该增加您的攻击风险。

也就是说，控制你的URL的格式可能值得把它们连接在一起的小麻烦。 IDP在某些时候可能有一个错误，您不希望格式，长度或唯一性可能会对您造成伤害。