在一天结束时，客户端（通常是浏览器）仍然需要一个令牌来维护会话（通常使用 cookie 变量）。如果攻击者通过 XSS 或OWASP A9获得此令牌，则他们可以访问相同的资源。CSRF 也是一个问题。

现在这是假设这些身份验证提供程序完全不受攻击。如果其中一项服务存在缺陷，您也会遇到麻烦。SQL 注入、网络钓鱼、不安全的备份、缺乏蛮力保护只是其中几个问题。

oauzz是一个 oauth fuzzer，它可以发现 oauth 实现中的严重缺陷。