所以我无法理解某些事情......
如果您为Web Apps执行Oauth,则使用回调URL注册您的站点并获取唯一的消费者密钥。但是,一旦您获得了Oauth for Web Apps令牌,您就不必从注册域中生成对Google服务器的Oauth调用。我经常在我的笔记本电脑上的localhost上通过apache服务器运行的脚本中使用我的密钥和令牌,Google从不说“你没有从注册域发送这个请求。”它只是向我发送数据。
现在,据我了解,如果您为已安装的应用程序执行Oauth,则使用“匿名”而不是从Google获得的密钥。
我一直在考虑使用OAuth for Web Apps auth方法,然后将该令牌传递给已安装的应用程序,该应用程序内部嵌入了我的密码。担心的是恶意代码可以发现代码。但更安全的是......让他们为密码工作还是让他们默认为匿名?
当替代方案使用“匿名”作为秘密时,如果发现“秘密”,真的会变坏吗?
答案 0 :(得分:4)
OAuth for Web Apps和OAuth for Installed Apps(例如“匿名”/“匿名”作为您的消费者密钥/秘密)之间的主要区别在于批准页面。
对于已安装的应用,Google无法验证其身份 应用程序,这样就会向用户显示一个黄色警告框。
对于网络应用,有一个可以验证的实际网址(应用)。 因此,没有向用户呈现丑陋的警告框。
答案 1 :(得分:0)
在进行OAuth调用时,您唯一需要识别的是签名,即使用使用者密钥签署的HMAC-SHA1字符串。与任何领域都没有任何关系。
唯一需要保持合理安全的是消费者秘密。我不太明白你的意思是“匿名”但是......