10
根據facebook oauth2文檔,客戶端流程不需要客戶端祕密參數。客戶端流程可用於本地和移動Web應用程序。爲什麼Google本地oauth2流程需要客戶端密鑰?
但谷歌的原生oauth2流程需要客戶端祕密http://code.google.com/apis/accounts/docs/OAuth2.html#IA。
在這種情況下,客戶端機密可以被黑客利用逆向工程工具盜取。
有人可以澄清爲什麼這樣做嗎?
A
回答
11
根據Google員工的帖子,主要原因是他們使用相同的庫用於服務器端應用程序和本機應用程序。這聽起來像他們不認爲client_secret在本地應用程序的上下文中很敏感,但他們計劃最終逐步淘汰已安裝的應用程序流。
從https://groups.google.com/group/oauth2-dev/browse_thread/thread/1e714924ebcc7e60/edfaaad5830ff2e8:
我們不希望這些祕密留祕密到目前爲止我們包括他們大多所以它的方便與今天的庫使用,並希望停止要求他們在某個時刻在將來。
雖然這可能聽起來很糟糕,但請記住,OAuth從未打算防止惡意用戶在移動/桌面應用上下文中僞造請求。
如果你關心公開client_secret,還有這裏描述的客戶端流程:http://code.google.com/apis/accounts/docs/OAuth2.html#CS據我所知,客戶端流程不需要client_secret,並且可以從桌面或移動應用。
-Chris
相關問題
- 1. Google OAuth2的客戶端密鑰究竟是什麼?
- 2. Google爲什麼要爲本機應用程序提供客戶端密鑰?
- 3. 爲什麼Google OAuth2需要客戶端密鑰並刷新令牌才能獲取訪問令牌?
- 4. 驗證客戶端ID和密鑰OAuth2
- 5. OAuth2中客戶端密鑰的用途是什麼?
- 6. OAuth2:如何生成客戶端ID和客戶端密鑰?
- 7. OAuth2:什麼是「客戶端」?
- 8. OAuth2本地應用程序 - 客戶端祕密
- 9. 爲什麼我們需要客戶端ID和客戶端密鑰,而不僅僅是clientSecret?
- 10. 爲什麼Google API for PHP需要客戶機密碼,而Javascript則不需要?
- 11. Google地球API是否需要密鑰?
- 12. 如何在OAuth2中從MVC5獲取客戶端ID和客戶端密鑰?
- 13. 客戶端需要綁定什麼()?
- 14. 如果不需要Api密鑰,爲什麼還需要Google地圖的外部JavaScript腳本?
- 15. 是否需要更改Google靜態地圖版本的API密鑰,客戶端ID和/或簽名更改
- 16. 使用Google地圖apis發佈Phonegap應用程序需要什麼密鑰?
- 17. API客戶端密鑰
- 18. 客戶端密鑰+清爽的春天的oauth2
- 19. OAuth2沒有客戶端密鑰 - 可能的網絡釣魚?
- 20. 爲什麼服務需要應用程序ID,API密鑰和API密鑰?
- 21. 什麼是本地客戶端?
- 22. 您是否需要爲客戶端應用程序使用Google Maps API的API密鑰?
- 23. 瞭解OAuth2客戶端憑據流
- 24. 配置Spring的OAuth2客戶端client_credentials流
- 25. 無客戶端祕密的OAuth2工具
- 26. 密鑰庫:爲什麼getCertificateChain(..)不需要密碼,而getKey需要密碼?
- 27. Google API客戶端刷新OAuth2令牌
- 28. Google Drive SDK - 客戶端密鑰 - 它有多祕密?
- 29. 本地存儲或客戶端的Cookie密鑰名稱
- 30. 爲什麼客戶端的祕密不需要從Javascript使用OAuth?