Насколько я знаю, стандарт OAuth очень слабо описывает, как на самом деле должен вести себя OAuth, но...
Я храню токены доступа OAuth для различных сервисов OAuth в базе данных. Если эти токены были скомпрометированы, могут ли они быть использованы третьей стороной? То есть данные токены привязаны только к моим API и секретным ключам?