A medida que profundizo en diferentes formas de autenticación y persistencia de sesión, comencé a cuestionar cómo se almacenan los tokens y el riesgo de que un token se vea comprometido. El escenario que tengo en mente es el siguiente:
Un usuario ha sincronizado su teléfono inteligente con una cuenta de redes sociales, y se otorgó un token OAuth2. Este token tiene un tiempo de caducidad de tres días a partir de ahora. El usuario ha dejado su teléfono desbloqueado, o usted ha podido comprometerse brevemente y obtener acceso a cualquier cosa almacenada en el dispositivo (piense en el nuevo exploit de mensajes de medios de Android). En este momento, rápidamente tomas el token OAuth2 y sales. Toma este token OAuth2 y lo usa desde su propio dispositivo. Ahora, para los próximos tres días, tiene autorización para la cuenta de las víctimas.
Mi pregunta: ¿Es factible la última parte? Si puede localizar un token OAuth2, ¿se puede usar desde otro dispositivo para otorgar la autorización? ¿Cuáles son las medidas preventivas para esto (aparte de cifrar tokens OAuth)?