电子版的OAuth 2.0客户端秘密

时间:2016-05-05 06:56:28

标签: javascript oauth-2.0 electron google-oauth2 google-api-nodejs-client

我在Electron中实施OAuth 2.0以使用Google Calendar API并意识到需要client_secret

搜索我看到两个选项:

  1. 在Electron App中硬编码/打包秘密。但是,由于Electron应用实际上可以在已编译的应用中访问其源代码,因此仍可以提取该秘密。
  2. 使用代理服务器(可能是我自己托管)自己获取OAuth URL并将其传递给客户端。然而,这似乎只是将问题转移到其他地方,因为我现在必须确保因必须使用我的代理服务器对用户进行身份验证而产生的安全问题。

    3. 目前最好的做法是什么?如果可能,我想避免让用户完成获取自己的client_secret

    的过程

1 个答案:

答案 0 :(得分:0)

这并没有回答如何避免捆绑client_secret但解决了问题。

对于想知道如何为Electron执行此操作的任何人,docs提到选择其他类型,可以将其删除在公共场合

相关问题
最新问题