8 python oauth-2.0 google-tasks-api
我是一个python初学者,我想做一个基本的谷歌任务客户端.它将是一个原生应用程序.我无法得到的是如何保持"客户机密"实际上是秘密的,因为它将包含在程序代码中.
我搜索并发现了一篇帖子,引用谷歌论坛的帖子,并且基本上建议将这件事放弃.
我花了好几个小时试图得到这个东西,但是,我现在没有答案.所以,我有两个问题要问:
我假设您正在谈论 OAuth。
是的,你嵌入了秘密——但不,这并不是真正的秘密;它是一个秘密。请参阅此处的另一篇文章:OAuth - 在您的应用程序中嵌入客户端密钥?。
谷歌的文档实际上说了同样的事情;来自: https: //developers.google.com/accounts/docs/OAuth2#installed
注册过程中获取的 client_id 和 client_secret 嵌入到您的应用程序的源代码中。在这种情况下,client_secret 显然不被视为秘密。
试图保护它是没有意义的 - 它必须通过网络到达 Google,任何拥有Fiddler等的人都可以以纯文本形式观看它。
至于影响:我认为,客户端秘密背后的想法是保护客户端供应商(即您)。理论上,如果我知道你的客户端密钥和秘密,我可以制作一个恶意网站/客户端,让用户合法登录,然后删除他们的所有任务,看起来你是负责的。这对于使用 Web 服务进行防御可能是有意义的,但对于已安装的客户端,用户可能从某个地方(应用程序商店、网站等)下载它,希望确保它是合法的。
| 归档时间: |
|
| 查看次数: |
343 次 |
| 最近记录: |