Outh2.0 access_tokens 会受到损害吗?

Can Outh2.0 access_tokens be compromised?

我正在学习更多关于 Oauth2 概念的知识,并且对使用 Spring Oauth2 模块非常感兴趣。在了解访问令牌时,我有点迷茫。我们如何防止 access_tokens 被泄露?我知道整个令牌交换是使用 HTTPS 进行的,但是当客户端可以使用 HTTP 访问资源时。此外,access_token 可能是短暂的,但它确实有一个 window 可以被破坏的地方。我的理解正确吗?

如何预防?我看到有人提到 token_secret 可以与 access_token 一起传递,但我不确定 Spring 的 OAuth 2 实现是否使用它。

如果我走错了路,请指正。谢谢

你是对的。访问令牌可能会受到多种威胁的破坏(请参阅 RFC6819 了解某些威胁模型)。

但是一些规范(或正在进行的规范)增加了防止访问令牌被泄露或帮助您限制被盗的不良影响的方法。