大家。我最近在学习OAuth身份验证。我正在玩谷歌的oauth api。在Google Sign-In for server-side apps教程中,在第三步 - 初始化GoogleAuth对象中,您需要提供客户端ID以初始化GoogleAuth对象。我只是想知道我们是否需要保密客户端ID,因为现在任何人都可以通过查看javascript找出客户端ID。
答案 0 :(得分:4)
如果您限制对特定JavaScript源的访问并在服务器端重定向URI,则无需隐藏客户端ID。详情请见this Quora thread或this IETF thread。