如果 OAuth 的 Access Token 泄漏，是否会影响安全性?

• 資深大佬 : lff0305

  HTTPS，能够保证安全性
  当然本地要是信任了某个 ca 发布的不安全根证书或者中木马了就没办法了

• 主 資深大佬 : James369

  @lff0305 我之前看到，有些工具可以直接对 https 进行抓包分析的

• 資深大佬 : owlsec

  @James369 抓包分析的前提是信任了伪造的证书。

  除非有非常严重的漏洞，采用了 https 的链路传输是安全的。

  access_token 都是有过期时间的。有些平台会要求重新登录或者 refresh_token 。OAuth 是一个很安全的体系。

• 資深大佬 : baiyi

  这是中间人，跟授权体系本身没有关系

• 資深大佬 : easonHHH

  在网关 /路由器监听，包内容也都是加密内容。如果你要解包就做中间人攻击，监听处返回一个自制证书，然后就可以分析你的内容了，为了避免这种情况发生，安全证书都是由可信 CA 机构签发的，证书包括域名等相关信息。如果你访问的网站跟证书信息不一致（比方说你一个 a.com 返回一个 CN:b.com 的证书），或者是非可信 CA 机构签发的证书，浏览器或者都会提示不安全。

  工具抓包就是你把自制的根证书信任了

• 資深大佬 : Sapp

  你说的这个跟 OAuth 有啥关系？他又不是 OAuth 特有问题，你就算普通登录不还是有这个问题，而且 https 你说的抓包是要安装证书的，你可以搞个抓包软件看看，或者干脆用手机梯子 quanx 、surge，他都会让你装证书才能用 MitM 解密 https 。