谷歌登錄/ 0auth /安全

Question

我在我的網站上使用 google's 0auth sign in API 。 這涉及到設置一個項目和客戶端ID，我將我的網站URL指定爲授權的JavaScript源。 要激活我的網站上，客戶端ID包括在meta標籤：

<meta name="google-signin-client_id" content="YOUR_CLIENT_ID.apps.googleusercontent.com"> 

據我瞭解，我只能用我的域名網頁整合這個標誌 - ClientID的是對自己沒用。

使用此服務時需要考慮哪些安全問題？我應該考慮嘗試掩蓋clientID，以便它不會出現在我的網站源代碼中（不知道我該怎麼做）？

Answer 1

我不認爲客戶端ID有任何安全隱患，所以沒有必要試圖去保護它。

在某些情況下，存在需要保護的客戶端憑據。但是，如果你有一個JavaScript客戶端，那麼很可能你使用了隱式授權類型，它不使用這些憑證（因爲客戶端無法保護它）。

有在OAuth威脅模型section on client identifier。正如你所看到的，他們沒有以任何方式指定保護標識符的必要性。這可以很好的保證你不需要嘗試無恥的特技來保護它。

對於進一步的證據，讀Aaron Parecki's Oauth Simplified，他寫道：

註冊您的應用程序後，您會收到一個客戶端ID和客戶端密鑰。客戶端ID被認爲是公共信息，用於構建登錄URL或包含在頁面上的Javascript源代碼中。