1
作爲安全最佳實踐,當工程師/實習生離開團隊時,我想重置我的Google API控制檯項目的客戶端密鑰。重置客戶端祕密OAuth2 - 客戶端是否需要重新授予訪問權限?
該項目擁有許多人授予的OAuth2訪問權限,我需要確保這些(授予以及刷新令牌)不會停止工作。不幸的是,我一直無法找到明確說明這一點的文檔。
A
回答
-1
是的。客戶機密鑰重置將立即(在Google OAuth 2.0中,可能會有幾分鐘的延遲)使發出給客戶機的授權「代碼」或刷新令牌無效。
客戶機密重置是針對私人客戶濫用泄露的客戶機密的對策。因此,一旦祕密被重置,要求重新授予是有意義的。
我沒有發現任何Google文檔明確指出這一點。但我的實踐證明,重置會影響用戶,您也可以對其進行測試。
而在我們的工作中,我們的程序員不會觸及產品的祕密,我們有測試客戶。只有極少數產品經銷商能夠觸及到這一點。所以我認爲你需要盡力縮小團隊祕密的知名度。休息不是一個好方法。
相關問題
- 1. 客戶端ID和客戶端訪問foursquare API的祕密
- 2. 無客戶端祕密的OAuth2工具
- 3. Google的GTMOAuth2Authentication客戶端是否支持授予離線訪問權限?
- 4. Laravel Oauth2客戶端授權並重定向與Guzzle
- 5. oAuth2客戶端在Spring Security中授予密碼
- 6. OAuth2:JWT授權授權和客戶端憑證授權與JWT客戶端認證有什麼區別?
- 7. 我是否需要重新註冊客戶端腳本?
- 8. 的客戶端SSL授權
- 9. Python SOAP客戶端,授權
- 10. 授權給Google客戶端
- 11. OAuth2:如何生成客戶端ID和客戶端密鑰?
- 12. box.com是否支持自主客戶端或客戶端憑據授權?
- 13. OAuth2:什麼是「客戶端」?
- 14. CXF客戶端授權問題
- 15. 客戶端重新連接
- 16. Swashbuckle OAuth2用戶授權使用客戶端憑證流
- 17. JAX-WS客戶端:JAXB是否需要?
- 18. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 19. Unity UNet客戶端權限
- 20. 權限與UNET客戶端
- 21. Perforce客戶端權限
- 22. Oauth2是否有任何Php客戶端?
- 23. 哪個OAuth2授予使用Javascript的B2B客戶端類型?
- 24. 我是否需要用Javascript重寫我的客戶端庫?
- 25. permission_denied at /:客戶端沒有訪問所需數據的權限
- 26. 重新設置客戶端上的webform
- 27. 爲什麼Google本地oauth2流程需要客戶端密鑰?
- 28. c#服務器客戶端,客戶端不重新連接
- 29. OAuth2本地應用程序 - 客戶端祕密
- 30. 谷歌雲存儲 - 客戶端祕密
如果這個答案在2014年是正確的,現在不再正確。我可以確認重置Google客戶端密碼不會使現有的客戶端訪問權限/刷新令牌無效。 – MarcF 2017-11-10 15:40:01