RFC 6819: OAuth 2.0 Threat Model and Security Considerations, (jeton au porteur, bearer tokens)

OAuth repose largement sur des jetons (tokens), un petit bout de données qui sert à prouver qu’on est légitime. Avec certains de ces jetons (par exemple les jetons au porteur, bearer tokens ), la seule possession du jeton suffit.

Il est donc important de ne pas permettre à un tiers de les copier (donc, il faut communiquer en HTTPS, comme avec un cookie, cf. section 4.3.1, et aussi section 4.6.7 pour un moyen plus rigolo de faire fuiter les jetons).

Les jetons peuvent avoir une durée de vie limitée (RFC 6749, section 4.2.2), et cela permet à un utilisateur OAuth de retirer sa confiance à un client.

Les jetons qu’a obtenu ce dernier avant la révocation de la confiance ne lui serviront pas éternellement.