En los comentarios de una pregunta en StackOverflow, OAuth2 ¿Por qué caducan los tokens de acceso? / a>, las personas se preguntan qué tan seguros son los tokens de actualización.
Este comentario es como me siento:
Por lo tanto, proporciona cierta protección contra la detección de paquetes, siempre que la interceptar solo captura las solicitudes de datos comunes (Chuck solo obtiene el token de acceso)? Eso suena un poco débil; el sombrero negro solo tiene que espere un poco hasta que el usuario solicite un nuevo token de acceso y luego obtendrá el ID de cliente, el secreto y el token de actualización.
¿A todos nos falta algo o basamos nuestros miedos en una comprensión incorrecta?
¿O es correcto que la seguridad de los tokens de acceso de corta duración y los tokens de actualización se basa en la probabilidad asumida de que el sniffer se ejecute cuando se produce una actualización que es "improbable"?