在Google Cloud Endpoints JavaScript客户端中使用OAuth时,如何保护客户端ID的保密性?
如何在Google Cloud Endpoints中实现0Auth JavaScript客户端详细here。在下面的代码段中,客户端ID作为参数传递给OAuth方法。
gapi.auth.authorize({client_id: CLIENT_ID, scope: SCOPES,
immediate: mode}, callback);
由于最终用户将以明文形式接收脚本文件,无论使用何种HTTPS,您如何避免将客户端ID交给您所服务的每个用户?毕竟,梳理JavaScript代码以查找客户端ID会非常简单。
答案 0 :(得分:3)
你没有。任何人都可以看到并拦截它(如你所说),这是混乱的副问题的根源。
这就是你validate your tokens的原因。有关令牌验证和混淆的代理问题的简单解释,请查看How and why is Google OAuth token validation performed上的这个伟大的SO问题和答案。