Насколько безопасный я подписывающийся в электронные таблицы Google с yeroon.net/ggplot2
Я впечатлен тем, что я видел yeroon.net/ggplot2, который является веб-интерфейсом для пакета Hadley Wickham R ggplot2. Я хочу испытать его на своих собственных данных. Часть, которая имеет меня очень взволнованный, - то, что можно использовать данные, хранившие в собственной электронной таблице Google как данные. Каждый просто подписывается в их Google Account так, чтобы yeroon.net/ggplot2 мог получить доступ к списку электронной таблицы. Я не решился делать это. Если я регистрируюсь, пока на yeroon.net я передающий мое имя пользователя и пароль третьему лицу? Не было бы мудро из меня обнародовать мой пароль Google третьим лицам, так как Google быстро становится моим репозиторием всего.
Как я знаю, использует ли приложение Jeroon ClientLogin или OAuth? Мое понимание является очень простым и может быть неправильным, но тем не менее здесь это. OAuth был бы лучше, так как он на самом деле не передает пароль на приложение сторонних производителей.
1 ответ
Я создатель yeroon.net/ggplot2, кто-то указал мне на эту тему. Попробую объяснить, как сейчас работает система.
Приложение использует аутентификацию AuthSub . В тот момент, когда вы входите в свою учетную запись Google, создается сеанс Google. У этого сеанса есть доступ только к документам Google и службам электронных таблиц Google, для которых вы дали разрешение на странице входа в Google, поэтому, например, ваш почтовый ящик.
После входа в систему вы получаете токен сеанса от Google: уникальный ключ, который принадлежит сеансу и может использоваться для выполнения запросов на доступ к вашим данным Google. Токен сеанса сохраняется в вашем браузере как файл cookie, пока вы его не закроете. Каждый раз, когда вы делаете запрос к серверам yeroon.net, этот токен добавляется к запросу.
С помощью этого токена серверы yeroon.net могут получить доступ к вашим данным Google, например , чтобы получить электронную таблицу. Токен не хранится на сервере, хотя я понимаю, что вы должны поверить мне на слово. Также невозможно узнать ваше имя пользователя или пароль по токену сеанса; его можно использовать только для получения данных, пока существует сеанс.