Alla fine della giornata il client (di solito un browser) ha ancora bisogno di un token per mantenere una sessione (di solito con una variabile cookie). Se l'utente malintenzionato ottiene questo token, tramite XSS o OWASP A9 , può accedere alle stesse risorse. CSRF è anche una preoccupazione.
Ora si presume che questi provider di autenticazione siano totalmente immuni dagli attacchi. Se esiste un difetto in uno di questi servizi, anche tu sei nei guai. SQL Injection, Phishing, backup non sicuri, mancanza di protezione brute force sono solo alcune delle preoccupazioni.
oauzz è un oauth fuzzer, che può scoprire gravi difetti in un'implementazione oauth.