我正在编写一个适用于Google API的原生应用程序。在注册我的应用程序后,尽管明确指定为Native,但Google Developers Console为我提供了一个客户机密。
据我了解OAuth 2.0协议,原生应用程序永远不应该有客户机密,因为它们无法保证其保密性。 Google在实施OAuth 2.0方面是错误的吗?我该怎么办?
答案 0 :(得分:4)
你是对的,客户端秘密在本机应用程序中从保密的角度来看并不是非常有用。我怀疑它主要是为了与Web应用程序流程保持一致。
但它至少有一个有用的功能......原始开发人员可以随时重置它,有效地撤销绑定到该客户端ID的所有刷新令牌。