¿Qué tan perjudicial es exponer el token de acceso al propietario del recurso?

1 respuesta

2

Es cierto que los tokens de portador y los tokens de sesión no se deben pasar por la url. Las razones son (según OWASP ):

  

puede revelar el ID de la sesión (en los enlaces y registros web, el historial del navegador web y los marcadores, el encabezado del Referer o los motores de búsqueda)

En este caso específico, creo que a Facebook no le importó, ya que el uso es el cierre de sesión, por lo que una vez que se ha llamado el token ya no se puede utilizar de ninguna manera, por lo que no hay problema si se filtra.     

respondido por el aviv 11.05.2015 - 14:11
fuente

Lea otras preguntas en las etiquetas