Quanto è dannoso esporre il token di accesso al proprietario della risorsa?

Question

Quanto è dannoso esporre il token di accesso al proprietario della risorsa?

#1 da (2 voti)

2

Durante il controllo dell'implementazione di PHP php sdk ho notato che espongono il token di accesso al proprietario della risorsa (utente)

$params = array(
  'next' => $next,
  'access_token' => $session->getToken()
);
return 'https://www.facebook.com/logout.php?' . http_build_query($params, null, '&');

FacebookRedirectLoginHelper.php # L155

Quanto è dannoso? Non riesco a spiegarlo, ma non sembra giusto.

Nel caso in cui non sia "la migliore pratica" come si potrebbe implementare un logout usando invece il flusso di oauth v2?

Ho fatto qualche ricerca sulle specifiche e questo è quello che ho trovato:

Don't pass bearer tokens in page URLs: Bearer tokens SHOULD NOT be passed in page URLs (for example, as query string parameters).

link

oauth facebook

posta zerkms 11.05.2015 - 13:06

fonte

1 risposta

Leggi altre domande sui tag oauth facebook

Certificati lato client in IIS per l'accesso a un'app Web solo da un PC specifico Scegliere un gruppo di simboli che contiene una password

score 2 · Accepted Answer

È vero che i token bearer e i token di sessione non devono essere passati nell'URL. I motivi sono (secondo OWASP ):

might disclose the session ID (in web links and logs, web browser history and bookmarks, the Referer header or search engines)

In questo caso specifico, penso che a Facebook non importasse perché l'utilizzo è in uscita, quindi dopo che è stato chiamato il token non è più utilizzabile in alcun modo, quindi non è un grosso problema se è trapelato.