我有一个使用谷歌oauth进行身份验证的应用程序。我已经在我的Angular应用程序的environment.ts中存储了谷歌客户端ID和秘密。如果我必须在GitHub中发布我的代码,我不希望该信息被发布并公开。另外,我不想在我的.gitignore上添加environment.ts。
在GitHub中为Angular项目存储和检查私有凭证有哪些可接受的方法?我的方法是将我的谷歌客户端ID和密钥存储在environment.ts中是一个很好的解决方案吗?
更新:(我正在研究的建议清单)
答案 0 :(得分:0)
这里的问题是,即使你没有在GitHub中建立并公开获取你的凭据,你的凭证仍然可以在你的来源中轻松阅读。如果这确实是一个问题(它是!),最好的办法是使用API中介接收来自Google API的回调,并将结果返回给您的应用程序。
这种方法为使用Javascript Web令牌授权进一步与API进行通信提供了许多机会。