根据 the Google Drive SDK documentation您需要使用您的 Google 帐户注册您的自定义应用程序以获取 client-id
和 client-secret
信息。然后,您可以使用这些为您的用户构建链接以获取访问/刷新 token 。
根据我读过的关于 oAuth
的一些介绍性指南,客户端 secret 信息在某些情况下应该保密,而在某些情况下则不需要。我正在用 Java 构建一个 Maven 插件,在这种情况下,您似乎很难对值保密。
是否可以将我的代码作为开源代码(包括客户端 secret 信息)发布?或者这对我来说意味着潜在的风险?如果不可行,我如何允许其他人使用该插件而不泄露客户端 secret 值?
最佳答案
请参阅 Google 关于 OAuth 2.0 for Installed Applications 的文档:
The Google OAuth 2.0 endpoint supports applications that are installed on a device (e.g. Mobile, Mac, PC). These applications are distributed to individual machines, and it is assumed that these applications cannot keep secrets.
你应该可以公开这个 secret 。唯一的风险是某些流氓用户会“耗尽”您的所有配额。 Per-user quotas如果出现此问题,可能有助于缓解此问题。
关于java - Google Drive SDK - 客户 secret - 它有多 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18828662/