如果我的移动应用允许用户直接上传到Google云端存储而无需通过我的网络服务器,那么是否有一个概念可以为用户提供临时凭据?或者是否有其他方法来实现这一点,以便我不需要在应用程序中公开我自己的凭据?
答案 0 :(得分:0)
我认为这就是OAUTH的用途,OAUTH现在与所有Google API一起使用。这个想法 - 就像你已经指出的那样 - 没有好办法在客户的设备上保护你的凭证,所以客户端密钥(而不是服务器密钥)不允许直接访问你的服务/ api。相反,客户端密钥(随应用程序一起提供)更多地用作标识符,然后是密钥:它允许客户端从OAUTH服务器(在这种情况下,Google运行)请求临时访问令牌,然后可以用于访问您的服务/ apis。
这个额外的图层也为您提供更多控制,例如您可以将限制(例如客户端IP地址)与客户端密钥相关联。
总的来说,它似乎不是一个完美的解决方案,它肯定会带来额外的复杂性,但它的目的是解决您关注的问题。
关于在Android上的实施,您可能正在使用谷歌客户端库,它支持谷歌的OAUTH2。
请阅读此处了解更多信息:
https://developers.google.com/accounts/docs/OAuth2