我正在为iPhone制作应用程序,所有用户都可以访问用于上传文件的相同google驱动器文件夹。此Google云端硬盘帐户由公司管理,而不是由用户管理。因为我想跳过谷歌登录表单,只是让用户访问。理想的用户甚至不知道他/她正在使用谷歌驱动器。
我查看了drEdit示例并查看了oauth文档。是否可以为所有用户使用一个refresh_token进行大访问?所以我登录一次,大访问,以某种方式存储应用程序中的refresh_token和硬代码以供将来使用,以便所有用户使用该refresh_token进行访问。或者有更好的想法吗?
亲切的问候,
斯泰恩
答案 0 :(得分:0)
认为有一个类似的问题,但找不到我正在寻找的那个。简短的回答是你需要非常小心你这样做。在您的应用中嵌入刷新令牌就像邀请滥用一样,特别是如果它被授权进行写入访问。一旦聪明的用户或攻击者发现了该值,他们就可以使用该令牌来调用他们想要的API。如果授权使用完整的驱动器范围,这意味着还可以恶意修改或删除文件,秘密存储自己的内容等...
如果您确实需要对存储在云端硬盘中的内容进行匿名或共享访问,则最好通过自己的服务器代理请求,以便控制与云端硬盘的互动。