oauth-2.0 - 开发和生产中的 OAuth2

Question

在开发和生产环境中使用 OAuth2 身份验证的最佳策略是什么？

例如，我想创建一个基于 Web 的开源 GitHub 客户端。我已将我的客户端注册为 GitHub 应用程序。根据 OAuth2 规范，我必须在注册应用程序时指定重定向 url。我应该使用什么 redirect_url，基于本地主机还是真实的生产 url？如果我使用基于本地主机(用于开发)，我的生产站点显然会停止工作(反之亦然)。

在公共(public)代码中存储 client_id 和 client_secret 是否安全？如果不是，存储它的最佳策略是什么(即在一些未添加到源版本控制系统的配置文件中)？

Answer 1

对于 Rails，我使用了一个名为 figaro 的 gem .

您定义特定于环境的变量 (config/application.yml):

CALENDAR_SCOPE: https://www.googleapis.com/auth/calendar

production:
  CLIENT_ID: 393sdfgsdfg.apps.googleusercontent.com
  CLIENT_SECRET: sdfgdfsgsg
  OAUTH2_REDIRECT: http://mydomain/users/auth/google_oauth2/callback
  etc...

development:
  CLIENT_ID: 24asdfsadfas.apps.googleusercontent.com
  CLIENT_SECRET: asdfsadf
  OAUTH2_REDIRECT: http://localhost:3000/users/auth/google_oauth2/callback
  etc....

然后在您的代码中使用这些:

client = Google::APIClient.new({:auto_refresh_token => false})
client.authorization.scope = ENV['CALENDAR_SCOPE']
client.authorization.client_id = ENV['CLIENT_ID']
client.authorization.client_secret = ENV['CLIENT_SECRET']
client.authorization.redirect_uri = ENV['OAUTH2_REDIRECT']
etc...

您必须记住在启动服务器时设置环境。例如:

thin -e production start

或

thin -e development start

您可能想要忽略 application.yml 文件。