4
我正在編寫一個針對Google API的本機應用程序。在註冊我的應用程序後,儘管它明確指定爲本機,但Google Developers Console爲我提供了一個客戶機密鑰。Google爲什麼要爲本機應用程序提供客戶端密鑰?
據我瞭解OAuth 2.0協議,本機應用程序不應該有客戶端的祕密,因爲他們不能保證其祕密。 Google是否錯誤地實施了OAuth 2.0?我應該如何繼續?
A
回答
4
你是對的,客戶端的祕密在一個本機應用程序中從保密的角度來看並不是非常有用。我懷疑它主要是爲了與Web應用程序流保持一致。
但它至少有一個有用的功能......原始開發者可以隨時重置它,有效地撤銷綁定到該客戶端ID的所有刷新令牌。
相關問題
- 1. 爲什麼Google本地oauth2流程需要客戶端密鑰?
- 2. 爲什麼要爲單線程進程提供多個Sidekiq客戶端連接?
- 3. Azure應用程序客戶端機密
- 4. oauth 2提供程序 - 必須同時爲客戶提供API密鑰和應用程序ID?
- 5. 爲什麼Facebook/Twitter應用程序需要2個密鑰?
- 6. 爲什麼服務需要應用程序ID,API密鑰和API密鑰?
- 7. 您是否需要爲客戶端應用程序使用Google Maps API的API密鑰?
- 8. Google App Engine爲Java應用程序到客戶端的實時數據傳輸提供了什麼?
- 9. Google雲端存儲似乎忽略客戶提供的加密密鑰標題
- 10. Google OAuth2的客戶端密鑰究竟是什麼?
- 11. 爲什麼Google API for PHP需要客戶機密碼,而Javascript則不需要?
- 12. 爲什麼map api供應商需要api密鑰?
- 13. IdentityServer3同步用戶提供客戶端應用程序
- 14. Google Apps Marketplace設置我的應用的客戶端ID和客戶端密鑰
- 15. 爲什麼Google API密鑰被禁用?
- 16. 爲Google服務帳戶提供公鑰,而不是讓Google生成密鑰
- 17. 什麼是Google Cloud Endpoints的Web應用程序客戶端ID?
- 18. 爲什麼我們需要客戶端ID和客戶端密鑰,而不僅僅是clientSecret?
- 19. OAuth - 在您的應用程序中嵌入客戶端密鑰?
- 20. 爲IP客戶端應用程序
- 21. 爲客戶端發佈應用程序
- 22. 爲客戶端應用程序提取郵件的最佳方式是什麼?
- 23. Javascript/Express - 爲客戶端提供圖像
- 24. 自定義提供程序ASP.NET密碼重置客戶端
- 25. Web應用程序被要求提供用戶名和密碼
- 26. VB應用程序要求提供SQL用戶名和密碼
- 27. 爲什麼Google OAuth2需要客戶端密鑰並刷新令牌才能獲取訪問令牌?
- 28. Google PHP客戶端庫 - 爲foreach提供的無效參數()
- 29. Oracle客戶端:提供程序與Oracle客戶端的版本不兼容
- 30. 使用Amazon AWS祕密密鑰部署C#客戶端應用程序(S3)?
這是我第一次使用OAuth,所以我不確定在應用程序中嵌入客戶端密鑰的安全含義是什麼。一旦我這樣做,我就會向全世界揭示它,並且可以進行逆向工程。我應該多擔心這個問題?攻擊媒介有多少知道客戶端祕密會給潛在的攻擊者帶來什麼? –
要在本機應用程序中獲得訪問令牌(這是您最終用來訪問API的內容),您需要向Google提供刷新令牌(這是Google在原始OAuth舞蹈結束時提供的內容)爲用戶存儲)和您的客戶機密。把它燒成你的應用程序是很好的(知道它可以被反向設計) - 它自己不能訪問任何數據 - 它總是與刷新令牌一起使用。 – aeijdenberg