OAuth 令牌安全

Question

据我所知，OAuth 标准对于 OAuth 的实际行为非常宽松，但是...

我将各种 OAuth 服务的 OAuth 访问令牌存储在数据库中。如果这些代币被泄露，它们是否可以被第三方使用？即，给定的令牌是否仅绑定到我的 api 和密钥？

Answer 1

令牌与给定的服务和用户绑定。有了这些，人们就可以假装是该用户。
例如，它不与任何 IP 地址或设备 UUID 绑定（尽管可以这样做作为额外的预防措施，但这不是 OAuth 的一部分）。

如果它们被泄露，您将取消它们的授权，从而使它们变得毫无价值。

它们可以与不同的 API 和密钥一起使用吗？

不会。访问令牌还与为其颁发的应用程序相关联。

这样，用户可以按应用程序取消授权，并且每个应用程序都可以拥有一组不同的权限（例如只读访问权限）。