我有一个网页,使用JavaScript通过Gmail API使用OAuth 2.0访问用户的Gmail帐户,我想在亚马逊的S3服务上托管HTML和JS文件。
出于这个原因,我已将https://s3-us-west-2.amazonaws.com/授权为Google Developer Console的凭据页面中的原始URI之一。我的页面效果很好,但我想知道:
如果我的页面与S3上托管的每个其他网页共享相同的源URI,这是否意味着另一个页面将满足同源策略并被允许访问我的页面的访问令牌?
例如,假设用户刚刚授予我的应用访问其Gmail帐户的权限。 Google会看到已批准的原始URI并发回一个访问令牌。
现在假设在S3上托管的其他一些页面已经复制了我的应用程序的客户端ID(公开存储为JS中的变量),并且一再请求来自Google的访问令牌。一旦我的用户授予对我的网页的访问权限,其他网页是否也会从Google收到令牌,因为它满足相同的原始URI?
我意识到这个潜在问题的一个解决方案是在我控制的域上托管我的网页,但我很好奇这是否是唯一的方法。