Насколько важно хранить секретный токен доступа OAuth?

Как только я получу токен доступа для сайта (скажем, facebook), используя OAuth, насколько важно хранить этот секрет? Может ли что-нибудь злонамеренное произойти, если кто-то схватил его?

Мне было интересно, было бы неплохо сохранить токен в cookie или сеансе.

Ответ 1

Обновление: если у вас есть пользователь, подключающийся к javascript sdk, идентификаторы пользователя и токены доступа уже хранятся в файлах cookie для вашего сайта. Проверьте отправленные HTTP файлы. Если это не так, проверьте документацию FB.Init, так как FB.Init имеет логический параметр cookie, который вы можете установить так, чтобы он создавал файл cookie для вас называется fbs_ {APPID}. В этом сообщение об этом файле cookie.

Ответ 2

Да, токен доступа эквивалентен вашему имени пользователя/паролю. Большинство реализаций истекают токен доступа через какое-то время, но пока он все еще действителен, он должен храниться в секрете.