0
請記住,我是一個noob,而且是oauth2的新手。我想得到oauth2的感覺並玩弄它。爲此,我使用offlineimap連接到我的Gmail帳戶並檢索電子郵件。如何以及爲什麼保護oauth2中的客戶機密
讓我複製我將用它來說明我的一般性問題
oauth2_client_id = clientId
oauth2_client_secret = clientSecretToken
oauth2_request_url = requestUrl
oauth2_refresh_token = refreshToken
type = IMAP
remotehost = imap.gmail.com
remoteuser = [email protected]
remotepass = mailpasswd('gmail')
據我瞭解CLIENT_ID用於識別我爲我的一些配置文件:請求URL只是我連接點在谷歌網站上的外部應用程序。刷新令牌用於生成實際的訪問令牌。
據我所知,客戶端的祕密是應用程序和gmail之間的共享祕密,以說服gmail正確的應用程序正在請求某些訪問。
問題如果我正確理解了這一點,刷新令牌和客戶機密應該是「祕密」的。這是否意味着將這些信息放在這樣的配置文件中是危險的?我們是否應該像密碼一樣加密它(例如用gpg)?
oauth2中對我來說不是100清楚的最後一點是:我是否正確理解我需要提供憑據(用戶名/密碼),因爲oauth2基本上假定我已登錄?
公平地說,oauth2在高層上所做的一切就是確保某個外部應用獲得對我的Gmail的某種訪問權限。這是爲特定應用程序授予特定數據。但我仍然需要提供我的憑據才能登錄到Gmail。
thx爲anwser。兩個簡單的問題:那麼你會只加密client_secret和refresh_token還是隻加密client_secret?當然,我的意思是刷新令牌用於創建一個新的訪問令牌,如果我正確地理解它。 – math
增加了更多的答案來處理您的問題 –
很酷,非常感謝擴展anwser! – math