【发布时间】:2016-09-30 01:31:40
【问题描述】:
我正在开发具有自己的 oAuth 授权的 Google chrome 扩展程序。当然,我必须使用 client_id 和 client_secret 作为请求令牌。 有什么办法可以向用户隐藏这些数据?由于此请求只是 javascript 中源代码的一部分,我不知道如何防止读取此数据。 感谢您的回答。
【问题讨论】:
标签: javascript google-chrome-extension oauth
我正在开发具有自己的 oAuth 授权的 Google chrome 扩展程序。当然,我必须使用 client_id 和 client_secret 作为请求令牌。 有什么办法可以向用户隐藏这些数据?由于此请求只是 javascript 中源代码的一部分,我不知道如何防止读取此数据。 感谢您的回答。
【问题讨论】:
标签: javascript google-chrome-extension oauth
使用OAuth 2.0 for Installed Applications 描述为:
Google OAuth 2.0 端点支持安装在计算机、手机或平板电脑等设备上的应用程序。已安装的应用程序被分发到各个机器上,假设这些应用程序无法保密。当用户在应用中或应用在后台运行时,这些应用可能会访问 Google API。
注意:从 Developers Console 获得的客户端 ID 和客户端密码嵌入在您的应用程序的源代码中。在这种情况下,客户端机密显然不被视为机密。
基于这些描述,“在服务提供者和应用程序之间没有建立消费者密钥/秘密。也就是说,在批准过程之后,没有用户可以重定向到的 Web 应用程序 URL。在已安装的应用程序中OAuth 舞蹈,消费者密钥/秘密是“匿名”/“匿名”,并且您为用户提供应用程序名称以授予访问权限(而不是应用程序 URL)”。
教程 link 用于正确实施 OAuth。
希望对你有帮助
【讨论】: