OAuth2 应用程序中的 Google Client Secret 提供什么访问权限?
What does the Google Client Secret in an OAuth2 application give access to?
我正在实施一个使用 Google 客户端 ID 和 Google 客户端密码的登录流程。我正在考虑 Google 客户端密钥的安全隐患以及谁应该能够访问它。
目前客户端密码存储在一个环境变量中,但我想知道有权访问此密码的人可以用它做什么来确定哪些开发人员应该有权访问此环境变量,以及我是否应该设置一个开发与生产中的不同 OAuth2 应用程序。
Client id 和 client secret 类似于登录名和密码。它们使您的应用程序能够请求用户同意访问他们的数据。如果您要存储刷新令牌,它还会为用户提供从您的刷新令牌创建访问令牌的权限。
Google 的服务条款状态
Asking developers to make reasonable efforts to keep their private keys private and not embed them in open source projects.
你不应该与任何人分享这个。它只应由您和您的开发人员使用。
是理想情况下,您应该有一个测试和生产客户端 ID。您的开发人员可以使用测试客户端 ID,唯一应该使用您的生产验证项目客户端 ID 的是您的生产环境。我会把它们存放在一些秘密商店里。
我正在实施一个使用 Google 客户端 ID 和 Google 客户端密码的登录流程。我正在考虑 Google 客户端密钥的安全隐患以及谁应该能够访问它。
目前客户端密码存储在一个环境变量中,但我想知道有权访问此密码的人可以用它做什么来确定哪些开发人员应该有权访问此环境变量,以及我是否应该设置一个开发与生产中的不同 OAuth2 应用程序。
Client id 和 client secret 类似于登录名和密码。它们使您的应用程序能够请求用户同意访问他们的数据。如果您要存储刷新令牌,它还会为用户提供从您的刷新令牌创建访问令牌的权限。
Google 的服务条款状态
Asking developers to make reasonable efforts to keep their private keys private and not embed them in open source projects.
你不应该与任何人分享这个。它只应由您和您的开发人员使用。
是理想情况下,您应该有一个测试和生产客户端 ID。您的开发人员可以使用测试客户端 ID,唯一应该使用您的生产验证项目客户端 ID 的是您的生产环境。我会把它们存放在一些秘密商店里。