一旦我收到使用 OAuth 的网站(例如 facebook)的访问令牌,保守这个秘密有多重要?如果有人掌握了它,会发生什么恶意的事情吗?
我想知道将令牌保存在 cookie 或会话中是否是一个坏主意。
是的,访问令牌相当于您的用户名/密码。大多数实现都会在一段时间后使访问令牌过期,但尽管它仍然有效,但必须保密。