【问题标题】:Is it safe to distribute client_id and client_secret for Google API for an installed application?为已安装的应用程序分发 Google API 的 client_id 和 client_secret 是否安全?
【发布时间】:2017-04-02 20:47:41
【问题描述】:

之前有人问过类似的问题(1,2),但没有明确回答:

client idclient secret 为Google API 获得的Installed application -> Other 凭据与将要分发的命令行应用程序的分发源代码一起存储是否安全?或者是否可以访问用户帐户或数据未经用户同意授予access_token

Google API docs 指定...:

.. 生成客户端 ID,在某些情况下,生成客户端密码,您将其嵌入应用程序的源代码中。 (在这种情况下,客户端机密显然不被视为机密。)

从其他文档中可以明显看出这不是最佳实践:client_secret 甚至不应该由服务提供,但目前 oauth2googleapiclient 库(用于 Python)需要它,并且可能也由 Google 服务提供。

应用程序将基于这些official examples 使用oauth2

非常感谢确认这是否真正安全的参考、良好的解释或文档。

【问题讨论】:

标签: oauth google-api oauth-2.0 google-oauth


【解决方案1】:

客户 ID 是公开可见的,将其放在您的网站中是安全的,但将您的 客户 机密 放在不安全> 在网站中的 js 或 html 代码中

【讨论】:

  • 如何使用它来访问用户帐户?
猜你喜欢
  • 2021-02-02
  • 2013-11-02
  • 2014-09-04
  • 1970-01-01
  • 2017-06-03
  • 2021-04-13
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多