【发布时间】:2023-01-12 22:11:17
【问题描述】:
对于 oAuth,我们需要一个 Client Id 和 Client Secret 来生成身份验证令牌。现在我有几个问题:
-
这两个值是否只能用于针对其的应用程序 那些是生成的,意味着那些只映射到单个应用程序吗?如果我分享这些凭据,其他任何人都可以 应用程序使用那些?
-
一般建议或做法是什么,我们是否需要轮换 客户端密码(和/或客户端 ID)?
【问题讨论】:
【发布时间】:2023-01-12 22:11:17
【问题描述】:
以下是您的问题的答案:
-
是的,这些凭据只能用于生成它的应用程序。事实上,
Client_id是识别该应用程序的关键。您始终可以将这些凭据用于多个应用程序。您可以将client_id和client_secret与用户名和密码进行比较。用户名和密码后面只能有用户实体。同样,只有一个应用程序映射到client_id和client_secret。 -
你不需要旋转。但是
client_secret的有效期因不同的身份提供者而异。因此,最佳做法是安全地存储它并在它过期之前重新生成/更新。
【讨论】: