作为安全性最佳实践,当工程师/实习生离开团队时,我想重置我的Google API控制台项目的客户端密钥。
该项目拥有一群人授予的OAuth2访问权限,我需要确保那些(授权和刷新令牌)不会停止工作。不幸的是,我无法找到明确说明这一点的文档。
答案 0 :(得分:-1)
是。客户端密码重置将立即(在Google OAuth 2.0中,可能会有几分钟延迟)使任何授权无效"代码"或刷新发给客户的令牌。
客户端密钥重置是针对私人客户滥用泄露客户机密的对策。因此,一旦秘密被重置,需要重新授权是有意义的。
我没有发现任何Google文档也明确说明了这一点。但我的实践证明,重置会影响用户,也可以对其进行测试。
在我们的工作中,我们的程序员不会触及产品的秘密,我们有测试客户。只有极少数产品运营商可以触摸它。因此,我认为您需要尽力缩小团队中秘密的可见性。休息不是一个好方法。