Nee*_*raj 5 m powerquery powerbi powerbi-desktop
我正在构建一个使用 OAuth 的自定义 Power BI DataConnector。我正在关注github 示例。但这会将客户端凭据(OAuth 中的“代码流”所需)存储为纯文本文件。有没有安全的替代方案?
不幸的是,根据微软员工 Curt Hagenlocher 的说法,由于当前的“最先进技术”,无法安全地保护这些凭据:
没有办法保护某人桌面上的秘密。这就是为什么一些 OAuth 提供商(如 AAD)支持“本机应用程序”模式,其中有客户端 ID,但没有秘密。该领域的最新开发是 PKCE,我们的目标是在今年晚些时候提供示例代码。
原则上,可以单独提供一个秘密以供服务使用——我希望有一天我们能这样做——但是需要创建很多基础设施来支持这一点。
我建议对模块本身进行加密,而 Curt 的回应是这也是无效的:
人们需要做的就是运行 Fiddler,他们就可以准确地看到发送到令牌端点的秘密。
完整对话:
https://github.com/microsoft/DataConnectors/issues/298
| 归档时间: |
|
| 查看次数: |
273 次 |
| 最近记录: |