Câu trả lời ngắn gọn: Có, đối với OAuth2 - bất kỳ ai có access_token hợp lệ đều có quyền truy cập vào các tài nguyên được chỉ định bởi mã thông báo đó. Trong bao lâu tùy thuộc vào OAuth2 việc triển khai nhà cung cấp.
Long trả lời, về cả OAuth1 và 2:
Khi nói đến OAuth 1một thẻ truy cập là không đủ. Bạn cũng sẽ cần bí mật mã thông báo truy cập và cả khóa người dùng cũng như bí mật. Vẫn giữ bí mật mã thông báo truy cập và giới hạn phạm vi và thời hạn hiệu lực nhưng bạn không thể sử dụng mã thông báo truy cập mà không có bí mật của khách hàng và mã thông báo. OAuth 1 không yêu cầu bạn sử dụng SSL, bởi vì mật mã được xây dựng ngay vào đặc điểm kỹ thuật.
OAuth 2 khác nhau - điều quan trọng hơn là mã thông báo truy cập được giữ bí mật. Do đó, nhà cung cấp API phải đảm bảo rằng mã thông báo truy cập, trong đó trong OAuth2 còn được gọi là mã thông báo Vòng bi, chỉ hợp lệ trong thời gian ngắn nhất có thể. Những thẻ này hoạt động như mật khẩu và nếu kẻ tấn công có thể sử dụng ngay lập tức. Do đó đặc tả OAuth2 (với mã thông báo mang) yêu cầu tất cả các giao tiếp diễn ra trên SSL - vì không có mật mã nào được tích hợp vào đặc tả. Thông thường mã thông báo truy cập có hiệu lực ngắn, có thể được làm mới bằng "mã thông báo làm mới" có giá trị lâu hơn nhưng chỉ được chuyển khi mã thông báo mang đầu tiên được người tiêu dùng nhận và khi mã thông báo của trình tạo được làm mới.
Nguồn
2011-07-09 09:12:43
Bạn nên làm rõ liệu bạn đang đề cập đến OAuth 1 hay OAuth 2. Phiên bản 1 của giao thức sử dụng bí mật được chia sẻ, bí mật mã thông báo, không bao giờ được chuyển qua dây. Do đó ăn cắp một mã thông báo truy cập giống như ăn cắp một chìa khóa mà không có một chút quan trọng. Nó sẽ không phù hợp với bất kỳ khóa. – Matthias
Tôi đã đọc về oAuth 2 và chỉ tự hỏi điều tương tự. Ước gì có một câu trả lời ở đây..sigh..the tìm kiếm vẫn tiếp tục. – Aishwar