Я использую AuthSub GData, так что моему административному приложению не нужно хранить информацию о пользователе / пароле. Я только что дошел до того, что в документации я узнал, как обменять первый токен одноразового использования на токен сеанса (http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken).). И тогда это утверждение выскочило на меня:
Вы можете игнорировать дату истечения срока, которая в настоящее время не используется; Сессионные токены не имеют срока действия.
Может быть, кто-нибудь захочет объяснить, что токен без срока действия не является проблемой безопасности? Что на самом деле означает «фактически не истекает»? Теоретически, если вредоносному приложению удается получить один из этих токенов, может ли оно продолжать его использовать независимо от смены пароля? Можно ли посмотреть, какие токены сеансов были выданы в настоящее время для учетной записи Google?
Короче говоря, моя паранойя завладела, и мне нужен большой умный человек, чтобы успокоить меня!
РЕДАКТИРОВАТЬ: вы можете вручную отозвать токены на https://www.google.com/accounts/IssuedAuthSubTokens