所以我在理解某事时遇到了麻烦...
如果您对Web Apps进行Oauth,则需要使用回调URL注册您的站点并获得唯一的消费者 key 。但是,一旦获得了针对Web Apps的Oauth token ,就不必从注册域生成对Google服务器的Oauth调用。我经常使用笔记本电脑上本地主机上通过apache服务器运行的脚本中的 key 和 token ,而Google从不说“您不是从注册域发送此请求”。它只是向我发送数据。
现在,据我了解,如果您对已安装的应用程序执行Oauth,则将使用“匿名”而不是从Google获得的 key 。
我一直在考虑仅使用OAuth for Web Apps的auth方法,然后将该 token 传递给已安装的应用程序,该应用程序将我的 secret 代码嵌入其内部。令人担心的是,恶意人员可能会发现该代码。但是,有什么更安全的方法呢……使它们适用于 secret 代码或让它们默认为匿名?
如果当替代方案使用“匿名”作为 secret 时发现“ secret ”,那么真正的坏处是什么呢?
最佳答案
Web应用程序的OAuth与已安装的应用程序的OAuth(例如,“匿名”/“匿名”作为您的使用者 key / secret )之间的主要区别是批准页面。
对于已安装的应用,Google无法验证其身份
应用程序,因此向用户显示一个黄色警告框。
对于网络应用程序,有一个(应用程序的)实际网址可以验证。
因此,不会向用户显示任何难看的警告框。
关于authentication - Google的已安装应用程序的Oauth与Web应用程序的Oauth,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2569968/