我正在实现一个使用 Google Client ID 和 Google Client Secret 的登录流程。我正在考虑 Google Client Secret 的安全隐患以及谁应该能够访问它。
目前客户端密码存储在一个环境变量中,但我想知道有权访问此密码的人可以用它做什么来确定哪些开发人员应该有权访问此环境变量,以及我是否应该设置不同的 OAuth2开发与生产中的应用。
最佳答案
Client id 和 client secret 类似于登录名和密码。它们使您的应用程序能够请求用户同意访问他们的数据。如果您要存储刷新 token ,它还会为用户提供从您的刷新 token 创建访问 token 的权限。
Google 的服务条款状态
Asking developers to make reasonable efforts to keep their private keys private and not embed them in open source projects.
你不应该与任何人分享这个。它只应由您和您的开发人员使用。
是 理想情况下,您应该拥有测试和生产客户端 ID。您的开发人员可以使用测试客户端 ID,唯一应该使用您的生产验证项目客户端 ID 的是您的生产环境。我会亲自将它们存储在一些 secret 商店中。
关于security - OAuth2 应用程序中的 Google Client Secret 提供什么访问权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72171227/