Por lo que yo sé, el estándar OAuth es muy laxa sobre cómo debe comportarse realmente OAuth, pero ...OAuth de seguridad del símbolo
almaceno tokens de acceso OAuth OAuth para varios servicios en una base de datos. Si estos tokens se vieran comprometidos, ¿podrían ser utilizados por un tercero? Es decir, ¿los tokens dados están ligados solo a mi api y a las claves secretas?
Las fichas están vinculados a un servicio y usuario dado. Con ellos, uno puede pretender ser ese usuario. No está vinculado a ninguna dirección IP o UUID del dispositivo, por ejemplo (aunque se podría hacer como precaución adicional, pero eso no forma parte de OAuth).
Si ellos se vieron comprometidas, te retiras la autorización de ellos, lo que los hace inútiles.
podrían ser utilizados con diferentes API y claves secretas?
No. El token de acceso también está vinculado a la aplicación para la que se emitieron.
esta manera el usuario puede de-autorizar sobre una base por aplicación, y cada aplicación puede tener un conjunto diferente de permisos (por ejemplo, acceso de sólo lectura).
¿Qué quieres decir con la dirección? Los tokens están vinculados a un determinado servicio y usuario. Con ellos, uno puede pretender ser ese usuario. – Thilo
Quise decir dirección IP. Pero lo que realmente debería haber significado, ¿podrían usarse con diferentes API y claves secretas? Voy a editar la pregunta. –