我正在使用GData的AuthSub,因此我的管理应用程序不需要存储用户/密码信息。我刚刚在文档中了解了如何交换第一个一次性令牌,用于会话令牌(http://code.google.com/apis/accounts/docs/AuthSub.html#AuthSubSessionToken)。然后这句话突然出现在我身上:
您可以忽略当前未使用的到期日期;会话令牌实际上不会过期。
有人会关心如何解释非过期令牌不是安全问题吗? “有效不会过期”的真正含义是什么?从理论上讲,如果恶意应用程序设法获得其中一个令牌,它是否可以继续使用它而不管密码更改?是否可以查看当前在Google帐户上发布的会话令牌?
简而言之,我的偏执已经占据了,我需要一个聪明的人来安慰我!
手动撤销令牌