OAuth2用戶證書授予安全

Question

我對OAuth 2.0用戶證書授予類型和可能的安全攻擊有幾個安全問題。因此，從我目前瞭解的情況來看，當我通過HTTPS將訪問令牌與我的用戶用戶名密碼客戶端ID和客戶端密鑰交換時，這是完全安全的。現在說一個例子，如果我有一個正在進行用戶認證的服務的第一方移動應用程序，並且我將該訪問令牌保留在設備上。

1. 如果訪問令牌受到破壞，某些受損訪問令牌可用於使後續請求說出例如API服務。有沒有什麼辦法可以防止這種情況，而不僅僅是沒有獲取訪問令牌？
2. 如果您通過HTTPS執行所有API請求，我不應該擔心訪問令牌如何通過線路受到攻擊或不必擔心任何重播攻擊？

因此，基本上我擔心這種特定類型的授權可能存在安全漏洞。我敢肯定，如果訪問令牌沒有受到威脅，並且所有流量都通過SSL，那應該沒問題。

我很想聽到別人的專家意見，而不是最大的OAuth人。

Answer 1

如果訪問令牌受損，現在有應用程序可以濫用它。由於訪問令牌是短暫的，並且只映射到某些權限 - 損害將被限制爲10分鐘訪問單個資源！ （令牌是針對爲示波器註冊的應用程序生成的，示波器映射到權限。）

如果您正在開發第一方應用程序，爲什麼要將令牌存儲在設備上？您可以考慮使用授權碼流程，而不是隱式授權流程。這樣訪問令牌總是在服務器上，而不是在本地設備上。