OAuth2用户证书授予安全

Question

我对OAuth 2.0用户证书授予类型和可能的安全攻击有几个安全问题。因此，从我目前了解的情况来看，当我通过HTTPS将访问令牌与我的用户用户名密码客户端ID和客户端密钥交换时，这是完全安全的。现在说一个例子，如果我有一个正在进行用户认证的服务的第一方移动应用程序，并且我将该访问令牌保留在设备上。

1. 如果访问令牌受到破坏，某些受损访问令牌可用于使后续请求说出例如API服务。有没有什么办法可以防止这种情况，而不仅仅是没有获取访问令牌？
2. 如果您通过HTTPS执行所有API请求，我不应该担心访问令牌如何通过线路受到攻击或不必担心任何重播攻击？

因此，基本上我担心这种特定类型的授权可能存在安全漏洞。我敢肯定，如果访问令牌没有受到威胁，并且所有流量都通过SSL，那应该没问题。

我很想听到别人的专家意见，而不是最大的OAuth人。

Answer 1

如果访问令牌受损，现在有应用程序可以滥用它。由于访问令牌是短暂的，并且只映射到某些权限 - 损害将被限制为10分钟访问单个资源！ （令牌是针对为示波器注册的应用程序生成的，示波器映射到权限。）

如果您正在开发第一方应用程序，为什么要将令牌存储在设备上？您可以考虑使用授权码流程，而不是隐式授权流程。这样访问令牌总是在服务器上，而不是在本地设备上。