Quanto è dannoso esporre il token di accesso al proprietario della risorsa?

2

Durante il controllo dell'implementazione di PHP php sdk ho notato che espongono il token di accesso al proprietario della risorsa (utente)

$params = array(
  'next' => $next,
  'access_token' => $session->getToken()
);
return 'https://www.facebook.com/logout.php?' . http_build_query($params, null, '&');

FacebookRedirectLoginHelper.php # L155

Quanto è dannoso? Non riesco a spiegarlo, ma non sembra giusto.

Nel caso in cui non sia "la migliore pratica" come si potrebbe implementare un logout usando invece il flusso di oauth v2?

Ho fatto qualche ricerca sulle specifiche e questo è quello che ho trovato:

Don't pass bearer tokens in page URLs: Bearer tokens SHOULD NOT be passed in page URLs (for example, as query string parameters).

link

    
posta zerkms 11.05.2015 - 13:06
fonte

1 risposta

2

È vero che i token bearer e i token di sessione non devono essere passati nell'URL. I motivi sono (secondo OWASP ):

might disclose the session ID (in web links and logs, web browser history and bookmarks, the Referer header or search engines)

In questo caso specifico, penso che a Facebook non importasse perché l'utilizzo è in uscita, quindi dopo che è stato chiamato il token non è più utilizzabile in alcun modo, quindi non è un grosso problema se è trapelato.

    
risposta data 11.05.2015 - 14:11
fonte

Leggi altre domande sui tag