Google OAuth - 保护客户端ID

时间:2014-03-08 08:00:22

标签: oauth oauth-2.0 webclient google-cloud-endpoints clientid

在Google Cloud Endpoints JavaScript客户端中使用OAuth时,如何保护客户端ID的保密性?

如何在Google Cloud Endpoints中实现0Auth JavaScript客户端详细here。在下面的代码段中,客户端ID作为参数传递给OAuth方法。

gapi.auth.authorize({client_id: CLIENT_ID, scope: SCOPES,
    immediate: mode}, callback);

由于最终用户将以明文形式接收脚本文件,无论使用何种HTTPS,您如何避免将客户端ID交给您所服务的每个用户?毕竟,梳理JavaScript代码以查找客户端ID会非常简单。

1 个答案:

答案 0 :(得分:3)

你没有。任何人都可以看到并拦截它(如你所说),这是混乱的副问题的根源。

这就是你validate your tokens的原因。有关令牌验证和混淆的代理问题的简单解释,请查看How and why is Google OAuth token validation performed上的这个伟大的SO问题和答案。