Насколько важно хранить в тайне токен доступа OAuth?

Question

Как только я получу свой токен доступа к сайту (например, Facebook) с помощью OAuth, насколько важно сохранить этот секрет? Может ли случиться что-нибудь злое, если кто-то овладеет им?

Мне было интересно, будет ли плохой идеей сохранять токен в файле cookie или сеансе.

Answer 1

Да, токен доступа эквивалентен вашему имени пользователя / паролю. В большинстве реализаций токен доступа истекает через некоторое время, но, хотя он все еще действует, он должен храниться в секрете.

Answer 2

Обновление: если у вас есть пользователь, соединяющийся с javascript sdk, идентификатор пользователя и токены доступа уже сохранены в файлах cookie для вашего сайта. Проверьте отправляемые файлы cookie http. Если это не так, проверьте документацию FB.Init , поскольку FB.Init имеет логический параметр cookie, который вы можете установить, чтобы он создавал для вас файл cookie с именем fbs_ {APPID}. Эта запись рассказывает об этом cookie.