我想制作一个允许用户使用 Stack Exchange 进行 OAuth的 web 应用程序,以便他们可以通过应用程序执行投票等操作。
不过,我被困在某一点上:我知道如何执行 OAuth,但是如果我可以查看数据库并获取他们的凭据,并且可能对他们做坏事,许多用户不想使用我的应用程序进行 OAuth。
有没有办法制作一个不允许我(操作员)用令牌做坏事的 OAuthing webapp?
设计一个使用 OAuth,但带有操作员无法使用的令牌的 web 应用程序?
信息安全
Web应用程序
oauth
2021-09-12 08:04:42
1个回答
由于 StackOverflow API 授权的范围粒度停止在“写入”级别,因此无法将授权权限限制为仅投票。
用户只需要信任你。他们始终可以通过在线应用程序撤销他们的许可,因此他们可以限制您可能造成的任何损害(或损害当前活动令牌的人)。
如果您想提高针对攻击者的安全性,您可以丢弃一段时间未使用的令牌(即使它们没有过期)以限制任何损害。我唯一能想到的另一件事是在处理令牌时正确实施安全连接。