Oauth的Access Token还是比较安全的。至于内部人员拿到用的Access Token这种极端情况，是没办法避免的。但是这个跟Oauth的Access Token设计没关系了。内部人员能拿到Access Token，也会拿到其他敏感数据，甚至会拿到APP的security key，甚至会脱裤。这种范围已经不单单是Access Token甚至APP设计需要考虑的了，这个涉及到整个企业架构，保密体系，人员管理，安全重视程度等复杂的东西了。

作者：朱海洋
链接：https://www.zhihu.com/question/20274730/answer/57877844
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。