java – Google Drive SDK – 客户端密码 – 它有多秘密?
作者:互联网
根据the Google Drive SDK documentation,您需要在自己的Google帐户中注册自定义应用程序,以获取客户端ID和客户端密码信息.然后,您可以使用这些链接为您的用户构建链接以获取访问/刷新令牌.
根据我读过的关于oAuth的一些介绍性指南,客户机密信息应该在某些情况下保密,有些则不应.我正在用Java构建一个Maven插件,在这种情况下你似乎很难保密.
是否可以将我的代码作为开源发布,包括客户机密信息?或者这对我来说意味着潜在的风险?如果不行,那么我怎样才能允许其他人使用该插件而不泄露客户机密值?
解决方法:
请参阅OAuth 2.0 for Installed Applications上的Google文档:
The Google OAuth 2.0 endpoint supports applications that are installed on a device (e.g. Mobile, Mac, PC). These applications are distributed to individual machines, and it is assumed that these applications cannot keep secrets.
你应该好好释放这个秘密.唯一的风险是一些流氓用户“烧毁”你的所有配额.如果出现此问题,Per-user quotas可能有助于缓解此问题.
标签:java,maven,oauth,google-oauth,google-drive-api 来源: https://codeday.me/bug/20190825/1719517.html