Supongamos que un atacante tuvo acceso a una lista de tokens de OpenID, ¿qué podría aprovechar el atacante para acceder a un sistema?
¿Deberían tener otra información, MITM? O pueden simplemente usar eso para autenticarse.
El token esencialmente es lo que te da acceso durante un período de tiempo determinado. Entonces, sí, un atacante podría usar el token para acceder a un sistema.
Lea otras preguntas en las etiquetas openid attack-vector