记录 facebook oauth 访问令牌是否安全?
Is it safe to log facebook oauth access tokens?
我的应用程序无法重现 facebook 登录超时问题,因此使用 facebook 开了一张票。他们要求我向他们发送问题发生时的用户访问令牌。由于这个问题很难重现,我需要记录访问令牌,所以它会在我们的日志文件中,也会在我们的日志分析工具中,访问令牌在我们的日志文件和我们的分析工具中是否有风险,假设它不是公开的?
实际上他们说要始终确保访问令牌是安全的,所以我不会将其包含在日志文件中
您不应记录访问令牌。任何有权访问访问令牌的人都可以暂时劫持这些帐户。
如果您遵循 Oauth 指南,您的访问令牌的有效期应该很短,从而降低风险。然而,可能因记录这些令牌而暴露的用户数量引起了严重关注。
Oauth threat model 中讨论了日志文件中访问令牌的威胁。
我的应用程序无法重现 facebook 登录超时问题,因此使用 facebook 开了一张票。他们要求我向他们发送问题发生时的用户访问令牌。由于这个问题很难重现,我需要记录访问令牌,所以它会在我们的日志文件中,也会在我们的日志分析工具中,访问令牌在我们的日志文件和我们的分析工具中是否有风险,假设它不是公开的?
实际上他们说要始终确保访问令牌是安全的,所以我不会将其包含在日志文件中
您不应记录访问令牌。任何有权访问访问令牌的人都可以暂时劫持这些帐户。
如果您遵循 Oauth 指南,您的访问令牌的有效期应该很短,从而降低风险。然而,可能因记录这些令牌而暴露的用户数量引起了严重关注。
Oauth threat model 中讨论了日志文件中访问令牌的威胁。