我正在使用GData的AuthSub,以便我的管理应用程序不需要存储用户/密码信息。我刚开始学习如何为会话令牌(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken)交换第一个单次使用令牌的文档。然后这个声明跳到我身上:AuthSub会话令牌永不过期;安全问题?
您可以忽略到期日期,目前没有使用;会话令牌不会过期。
有人会关心解释一个非到期令牌如何不是一个安全问题?什么“有效不过期”真的意味着什么?理论上,如果恶意应用程序设法获取这些令牌之一,它是否可以继续使用它而不管密码更改?是否有可能看到目前在Google帐户上发布的会话令牌?
总之,我的偏执已经成型了,我需要一个聪明的大人来安慰我!
编辑:您可以手动在https://www.google.com/accounts/IssuedAuthSubTokens