使用将分发的命令行应用程序的分布式源代码,将client id获得的client secret和Installed application -> Other凭据存储到Google API是否安全?或者是否可以在没有用户同意的情况下access_token访问用户帐户或数据?
Google API docs指定..:
..会产生客户端ID,在某些情况下会产生客户端机密,您可以将其嵌入应用程序的源代码中。 (在这种情况下,客户端秘密显然不被视为秘密。)
从其他文档中可以明显看出,这不是最佳做法:服务甚至不应提供client_secret,但oauth2和googleapiclient库目前需要oauth2 (对于Python),也可能是Google服务。
应用程序将根据这些official examples使用nextToken()。
非常感谢参考,良好的解释或文件,以确认这是否真的安全。
答案 0 :(得分:-1)
客户ID 是公开可见的,可以安全地放置在您的网站中,但是放置客户 秘密并不安全>网站上的js或html代码中的