Nei commenti di una domanda su StackOverflow, OAuth2 Perché scadono i token di accesso? , le persone mettono in discussione la sicurezza dei token di aggiornamento.
Questo commento è come mi sento:
So it provides some protection from packet sniffing, as long as the intercept only catches ordinary data requests (Chuck only gets the access token)? That sounds a little weak; the black hat just has to wait for a bit until the user requests a new access token and then he'll get the client ID, secret, and refresh token.
Manchiamo tutti qualcosa o basiamo le nostre paure su una comprensione errata?
O è corretto che la sicurezza dei token di accesso di breve durata e dei token di aggiornamento si basi sulla presunta probabilità dello sniffer in esecuzione quando un aggiornamento si verifica "improbabile".