我只是好奇 - 我是否需要将 Google/FaceBook/其他 OAuth 2.0 提供商的 client_secret 保存在“ secret ”位置?据我所知,一旦我指定了非常严格的回调 URL,就可以使用 client-secret 参数做很少的事情。
例如,将“ secret ” key 提交到 github/bitbucket/etc 作为某些实时网络项目的公共(public)存储库是否安全?
据我所知,client-secret 与 google/facebook 上的开发者帐户没有任何共同之处,因此不可能将其用于劫持或欺骗。
我错过了什么吗?谢谢!
最佳答案
尽量保密。
对于网络应用程序来说,保密至关重要,整个流程的安全性依赖于此。
对于 native 应用程序,请尽力而为。它总是可以从您的二进制文件进行逆向工程,但在某些情况下这可能并不简单。如果可能的话,不要直接提交给 github 等。您可以将其添加为构建过程的一部分。
关于oauth-2.0 - OAuth 2.0 - 客户端 key 是否必须为 "secret"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17395694/