1
OAuth凭证撤回应该如果客户经过一个忘记密码的流动,改变他的密码用于忘记密码
Q
用于忘记密码
A
回答
4
一个原因更改密码的OAuth凭证被撤销是当用户注意到别人不得不访问他帐户。在这种情况下,曾经访问旧密码并使用OAuth获取访问令牌的攻击者仍然可以访问该帐户,尽管用户更改了密码以防止出现这种情况。
E.g.由于某些不明确的原因(弱密码,特洛伊木马等),您的GMail帐户被黑客入侵并用于发送垃圾邮件。攻击者使用Google's IMAP with OAuth feature并获得有效的访问令牌。现在不知何故,你注意到他们发送垃圾邮件的名字,你改变你的密码。攻击者仍然拥有有效的访问令牌,并且可以继续发送垃圾邮件。
撤销令牌应该独立于原因,为什么用户更改他的密码。如果他改变它,你应该撤消所有的令牌,并让他再次注册。
相关问题
- 1. 忘记密码
- 2. MySQL忘记用于安装根密码
- 3. 忘记密码URL
- 4. CakePHP忘记密码
- 5. struts2忘记密码
- 6. AngularJS忘记密码
- 7. 忘记密码Codeigniter3
- 8. 如何在iPhone中忘记密码忘记密码
- 9. 的Django忘记密码
- 10. 忘记密码不工作
- 11. 忘记密码请求(Java)
- 12. 忘记我的密码git
- 13. 在轨道忘记密码
- 14. OmniAuth +身份忘记密码
- 15. 忘记密码在xmpp openfire
- 16. devise忘记密码设置
- 17. 忘记密码功能
- 18. 忘记密码tank_auth codeigniter
- 19. CakePHP 2.4忘记密码
- 20. XSS在忘记密码
- 21. 忘记了密码VBA
- 22. laravel 5.4忘记密码
- 23. PHP忘记密码功能
- 24. roundcube忘记密码插件
- 25. apache mysql忘记密码
- 26. PHP管理忘记密码
- 27. 忘记密码REST资源
- 28. Android忘记密码功能
- 29. Firebase忘记密码域名
- 30. 蓝牙忘记密码