Est-il sécuritaire d'enregistrer des jetons d'accès facebook oauth?

Question

J'ai un problème avec difficile de reproduire le problème des délais de connexion facebook avec mon application afin d'ouvrir un ticket avec facebook. Ils m'ont demandé de leur envoyer un jeton d'accès utilisateur à partir du moment où le problème est survenu. Comme le problème est difficile à reproduire, je devrais enregistrer le jeton d'accès, donc ce serait dans nos fichiers journaux mais aussi dans notre outil d'analyse des logs, est-ce dangereux que le jeton d'accès soit dans notre fichier journal et sur notre outil d'analyse , en supposant que ce n'est pas publiquement disponible?

Answer 1

Vous ne devriez pas vous connecter jetons d'accès. Toute personne ayant accès aux jetons d'accès peut temporairement pirater ces comptes. Si vous suivez les conseils d'Oauth, vos jetons d'accès devraient avoir une durée de vie courte, ce qui réduit le risque. Néanmoins, le nombre d'utilisateurs pouvant être exposés à la suite de l'enregistrement de ces jetons le rend très préoccupant.

La menace des jetons d'accès dans les fichiers journaux est abordée dans le Oauth threat model.

Answer 2

En fait, ils ont dit de toujours faire le jeton d'accès sécurisé est sûr que je ne vais pas être si l'inclure dans le fichier journal