我有一个 Electron 应用程序,它基本上是一个 Google Drive 客户端。我打算使用 OAuth 2。
但是,Google API 要求我在生成 client_secret 的地方注册我的应用程序。由于这是一个桌面应用程序,我将 client_secret 存储在服务器中。身份验证 URL 在服务器中生成并发送给用户。
我担心人们可以冒充应用程序并代表我的 client_secret 做事。如果有恶意的人创建了一个未经授权的应用程序并向我的服务器发送请求,理论上他们可以代表我的应用程序做恶意的事情。
我能做些什么来缓解这个问题,或者这不是问题吗?
编辑:人们只能访问自己的文件。就像他们在 drive.google.com 上一样(读/写/删除文件)