OAuth Google для Установленных приложений по сравнению с OAuth для веб-приложений
Таким образом, я испытываю затруднения при понимании чего-то...
Если Вы делаете OAuth для веб-приложений, Вы регистрируете свой сайт в URL обратного вызова и получаете уникальный потребительский секретный ключ. Но после того как Вы получили OAuth для маркера веб-приложений, Вы не должны генерировать вызовы OAuth к серверу Google от Вашего зарегистрированного домена. Я регулярно использую свой ключ и маркер из сценариев, работающих через апачский сервер в localhost на моем ноутбуке, и Google никогда не говорит, что "Вы не отправляете этот запрос от зарегистрированного домена". Это просто отправляет мне данные.
Теперь, насколько я понимаю, если Вы делаете OAuth для Установленных Приложений, Вы используете "анонимный" вместо секретного ключа, который Вы получили от Google.
Я думал о просто использовании OAuth для метода автора веб-приложений, затем передавая тот маркер установленному приложению, которому встроили мой секретный код в его внутренности. Беспокойство - то, что код мог быть обнаружен плохими людьми. Но что более безопасно... то, чтобы заставлять их работать на секретный код или разрешение им значение по умолчанию к анонимному?
Что действительно разлагается, если "секрет" обнаружен, когда альтернатива использует "анонимный" в качестве секрета?
2 ответа
Единственное, что вам нужно идентифицировать при выполнении вызова OAuth, - это подпись, которая представляет собой строку HMAC-SHA1, подписанную вашим секретом потребителя . Нет никакого отношения ни к какому домену.
Единственное, что вам нужно хранить в разумных пределах, - это секрет потребителя . Я не совсем понимаю, что вы имеете в виду под словом «анонимный» ...
Основное различие между OAuth для веб-приложений и OAuth для установленных приложений (например, «анонимный» / «анонимный» в качестве ключа / секрета клиента) - это страница утверждения.
Для установленных приложений у Google нет возможности проверить идентичность приложения , поэтому пользователю показывается желтое окно с предупреждением.
Для веб-приложений существует действительный URL-адрес (приложения), который может быть проверен. Следовательно, пользователю не отображается уродливое окно с предупреждением.