1
我正在爲我的API使用OAuth 2.0,我開始懷疑被盜用的帳戶。讓我們打電話給我的服務A和客戶服務B.OAuth 2.0如何防範受損客戶?
場景:
- 在用戶的帳戶comprmised
- 攻擊者通過OAuth 2.0用戶授權與B,允許利用B 查看私人信息
- 用戶更改密碼以保護帳戶
如果發生類似情況,攻擊者是否仍然能夠通過B查看用戶的私人信息,由於t o OAuth訪問令牌在密碼重置後不會過期?
A
回答
0
我也同意你的想法。 OAuth2規範沒有對此採取對策。但是那裏的供應商爲此提供了各種對策。例如,用戶儀表板可供用戶查看當前持有授權的應用程序和設備。然後用戶可以撤銷任何可疑應用程序。從而使攻擊者需要回得到一個新的,這是不可能的,如果密碼已更改檢索進入菜單B
相關問題
- 1. 如何保護Oauth 2.0客戶端ID和客戶端密鑰
- 2. Facebook客戶端OAuth 2.0問題
- 3. 客戶端的OAuth 2.0定義
- 4. OAuth 2.0如何加密客戶端ID和祕密
- 5. 如何刪除Google App Engine OAuth 2.0客戶端ID?
- 6. 如何正確配置Spring Security OAuth 2.0客戶端憑證?
- 7. Google Oauth 2.0範圍問題
- 8. oAuth 2.0適用於Google帳戶的用戶ID範圍
- 9. Google OAuth 2.0服務帳戶 - 日曆API(PHP客戶端)
- 10. 如何防止在OAUTH本機應用程序上損害用戶憑據
- 11. Oauth 2.0:如何將用戶信息傳遞給受保護資源(API Rest)
- 12. 防止oAuth 2.0 Google Drive憑據過期
- 13. OAuth客戶端Java
- 14. 如何在純客戶端應用程序中從Google OAuth 2.0 API刷新access_token?
- 15. 如何使用OAuth 2.0客戶端ID下載谷歌驅動器文件?
- 16. Google OAuth:無效客戶端oauth客戶端未找到
- 17. OAuth 2.0客戶端ID在Django/tastypie實施
- 18. OAuth 2.0使用Google客戶端JavaScript,獲取權限被拒絕
- 19. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 20. Google API控制檯:創建OAuth 2.0客戶端ID時出錯
- 21. OAuth 2.0多個作用域(客戶端憑據情況)
- 22. OAuth 2.0客戶端ID有什麼區別?
- 23. 的OAuth 2.0多對多委託客戶機憑證流方案
- 24. 用於移動客戶端的OAuth 2.0身份驗證
- 25. 從YouTube客戶端登錄遷移到OAuth 2.0
- 26. 用於Oauth 2.0和ADfs身份驗證的C#客戶端庫
- 27. 如何使用ASP.NET創建出一個客戶端ID和一個客戶端密鑰的Oauth 2.0服務器?
- 28. 圖像與Spring和假死客戶受損
- 29. Twitter oAuth爲客戶網站
- 30. 如何防止libwebsockets客戶端超時
和訪問令牌應該是短暫的 –