我在 Electron
中实现 OAuth 2.0 以使用 Google Calendar API 并意识到需要 client_secret
。
四处搜索我看到两个选项:
- 硬编码/封装 Electron 应用程序中的 secret 。然而,由于
Electron
应用程序实际上可以在编译后的应用程序中访问其源代码,因此仍然可以提取 secret 。 - 使用代理服务器(可能是我自己托管的)自己获取 OAuth URL 并将其传递给客户端。然而,这似乎只是将问题转移到其他地方,因为我现在必须确保必须使用我的代理服务器对用户进行身份验证所引起的安全问题。
到目前为止,执行此操作的最佳做法是什么?如果可能的话,我想避免让用户经历获取他自己的 client_secret
最佳答案
这并没有回答如何避免捆绑 client_secret
但解决了问题。
对于任何想知道如何为 Electron
执行此操作的人,docs提及通过选择其他作为类型可以将 secret 公开
关于javascript - Electron 的 OAuth 2.0 客户端密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37044354/