我正在为我的API提供OAuth 2.0,我开始怀疑被盗用的帐户 . 让我们调用我的服务A和客户服务B.
场景:
A上的用户帐户已被编译
攻击者通过OAuth 2.0与B授权,允许通过B查看私人信息
用户更改密码,以保护帐户
如果发生类似这样的事情,攻击者是否仍然无法通过B查看用户的私人信息,因为OAuth访问令牌在密码重置时没有到期?
我也同意你的想法 . OAuth2规范没有针对此的对策 . 但那里的供应商为此提供了各种对策 . 例如,用户仪表板,用户可以在其中查看当前持有授权的应用程序和设备 . 然后用户可以撤销任何可疑的应用程序 .
1 回答
我也同意你的想法 . OAuth2规范没有针对此的对策 . 但那里的供应商为此提供了各种对策 . 例如,用户仪表板,用户可以在其中查看当前持有授权的应用程序和设备 . 然后用户可以撤销任何可疑的应用程序 .