我只是好奇 - 我需要将Google / FaceBook /其他OAuth 2.0提供商的 client_secret 保存在“秘密”的地方吗?据我所知,只要我指定了非常严格的回调网址,就可以通过client-secret参数完成很少的事情。
例如,将github / bitbucket / etc的“秘密”密钥作为某个实时网络项目的公共存储库提交是否安全?
据我所知,客户端密码与google / facebook上的开发者帐户没有任何共同之处,因此无法将其用于劫持或欺骗。
我错过了什么吗?谢谢!
答案 0 :(得分:0)
尽量保密。
对于网络应用程序,保密是至关重要的,整个流程的安全性依赖于此。
对于原生应用,请尽力。它总是可以从你的二进制文件中进行逆向工程,但在某些情况下可能并非微不足道。如果可能的话,不要简单地提交给github等。您可以将其添加为构建过程的一部分。