Насколько я знаю, стандарт OAuth очень слабо описывает, как на самом деле должен вести себя OAuth, но...
Я храню токены доступа OAuth для различных сервисов OAuth в базе данных. Если эти токены были скомпрометированы, могут ли они быть использованы третьей стороной? То есть данные токены привязаны только к моим API и секретным ключам?
Токены привязаны к данной службе и пользователю. С ними можно притвориться этим пользователем. Например, он не привязан к какому-либо IP-адресу или UUID устройства (хотя это можно сделать в качестве дополнительной меры предосторожности, но это не является частью OAuth).
Если бы они были скомпрометированы, вы бы деавторизовали их, что сделало бы их бесполезными.
можно ли их использовать с разными API и секретными ключами?
Нет. Маркер доступа также привязан к приложению, для которого он был выпущен.
Таким образом, пользователь может отменить авторизацию для каждого приложения, и каждое приложение может иметь свой набор разрешений (например, доступ только для чтения).
