【发布时间】:2017-04-02 20:47:41
【问题描述】:
将client id 和client secret 为Google API 获得的Installed application -> Other 凭据与将要分发的命令行应用程序的分发源代码一起存储是否安全?或者是否可以访问用户帐户或数据未经用户同意授予access_token?
Google API docs 指定...:
.. 生成客户端 ID,在某些情况下,生成客户端密码,您将其嵌入应用程序的源代码中。 (在这种情况下,客户端机密显然不被视为机密。)
从其他文档中可以明显看出这不是最佳实践:client_secret 甚至不应该由服务提供,但目前 oauth2 和 googleapiclient 库(用于 Python)需要它,并且可能也由 Google 服务提供。
应用程序将基于这些official examples 使用oauth2。
非常感谢确认这是否真正安全的参考、良好的解释或文档。
【问题讨论】:
-
您开发什么样的应用程序(服务器端、移动、单页 Web 应用程序)以及您想使用哪种 OAuth2 流程?
-
@JánHalaša:它在问题中说,一个命令行应用程序(将被分发),以这种方式使用 oauth2:developers.google.com/api-client-library/python/auth/…
标签: oauth google-api oauth-2.0 google-oauth