Yid*_*nja 5 authentication oauth gdata-api gdata
所以我很难理解一些东西
如果您对Web Apps执行Oauth,则需要使用回调URL注册您的站点并获得唯一的消费者密钥。但是,一旦获得了针对Web Apps的Oauth令牌,就无需从注册域中生成对Google服务器的Oauth调用。我经常使用笔记本电脑上本地主机上通过apache服务器运行的脚本中的密钥和令牌,而Google从不说“您不是从注册域发送此请求”。它只是向我发送数据。
现在,据我了解,如果您对已安装的应用程序执行Oauth,则将使用“匿名”而不是从Google获得的密钥。
我一直在考虑仅使用OAuth for Web Apps auth方法,然后将该令牌传递给已安装的应用程序,该应用程序将我的秘密代码嵌入其内部。令人担心的是,恶意人员可能会发现该代码。但是,有什么更安全的方法呢……使它们适用于秘密代码或让它们默认为匿名?
如果当替代方案使用“匿名”作为秘密时发现“秘密”,那么真正的坏处是什么呢?
Web 应用程序的 OAuth 和已安装应用程序的 OAuth(例如“匿名”/“匿名”作为您的消费者密钥/秘密)之间的主要区别在于批准页面。
对于已安装的应用程序,Google 无法验证应用程序的身份,因此会向用户显示黄色警告框。
对于网络应用程序,有一个可以验证的(应用程序的)实际 URL。因此,不会向用户呈现丑陋的警告框。
| 归档时间: |
|
| 查看次数: |
1878 次 |
| 最近记录: |