我正在开发一个与一个或几个Google API集成的桌面应用程序。我已经完成了很多关于OAuth 2.0主题的阅读,我的印象是规范说client_secret应该不是桌面应用程序所必需的保守秘密任何拥有反编译器或能够检查Web请求的人都可以找出秘密是什么。
但是,根据https://developers.google.com/youtube/v3/guides/auth/installed-apps我尝试发送请求以接收access和refresh token,但收到以下400 Bad Request:
{
"error": "invalid_request",
"error_description": "client_secret is missing."
}
显然,我也通过添加和发送client_secret来尝试它,它运行良好。
所以,就是这样:
后者似乎是使用REST API的荒谬要求。但是,如果已经有任何服务或项目可以解决这个问题,我将不得不了解它们。我可以自己写一些东西,但我不想被迫站起来服务器,设置SSL,然后为这些请求编写服务器应用程序。
我做过的一些研究确实把我带到了这篇文章:client secret in OAuth 2.0
但是,这并没有特别提及我尝试使用的API。它也没有涵盖太多的变通方法。但它似乎与我在这里的想法产生了共鸣。