那些遇到过的问题

为什么 Google 会为 Native 应用程序提供客户端密钥?

Dun*_*eal 5 oauth oauth-2.0 google-oauth

我正在编写一个适用于 Google API 的本机应用程序。在注册我的应用程序时,尽管它明确指定为 Native,但 Google Developers Console 为我提供了一个客户端机密。

据我了解 OAuth 2.0 协议,本机应用程序永远不应该有客户端机密,因为它们不能保证其机密性。谷歌在实施 OAuth 2.0 时是否犯了错误?我应该如何进行?

aei*_*erg 4

您是对的,从保密的角度来看,客户端密钥在本机应用程序中并不是很有用。我怀疑它主要是为了与网络应用程序流程保持一致。

然而,它确实至少有 1 个有用的功能……原始开发人员可以随时重置它,从而有效地撤销绑定到该客户端 ID 的所有刷新令牌。

  • 要在本机应用程序中获取访问令牌(这是您最终用于访问 API 的令牌),您需要向 Google 提供刷新令牌(这是 Google 在原始 OAuth 舞蹈结束时提供的内容 - 并且您的应用程序通常会存储对于用户)和您的客户端密钥。可以将其烘焙到您的应用程序中(知道它可以进行逆向工程) - 它本身不提供对任何数据的访问 - 它始终与刷新令牌一起使用。 (3认同)

归档时间:

查看次数:

1011 次

最近记录:

11 年,11 月 前
相关归档
如何在Coderwall上进行"使用Github注册"按钮? 18
API错误代码:191 12
Facebook登录"让我登录"不工作 6
django rest 框架社交身份验证流程 6
获得访问令牌的Soundcloud(Oauth2)API失败 5
如何使用带有OAuth2身份验证的Gmail SMTP通过java邮件发送邮件? 5
从 Google 中的客户端电子邮件和私钥(服务帐户)获取令牌 3
Spring oauth:为什么资源服务器正在授权而不是授权服务器 3
Android:如何以编程方式获取SHA1 / MD5指纹? 1
authorize_access_token 是否也验证 id 令牌? 1
难疑归档
PHP'foreach'如何实际工作? 1926
JavaScript等效于printf/String.Format 1874
如何删除已合并的所有Git分支? 1782
在JavaScript中解析JSON? 1642
如何将NodeJS和NPM更新到下一个版本? 1573
将存储过程的结果插入临时表 1526
编译用于高放射性环境的应用程序 1414
在Python中创建一个包含列表推导的字典 1216
同步检查Node.js中是否存在文件/目录 1113
如何在Java中创建通用数组? 1045