在公共仓库中共享client_secret.json的风险是什么?

时间:2018-06-06 14:55:24

标签: oauth-2.0 google-sheets-api google-oauth2

我有一个python脚本,它将数据写入公共google工作表文件,并使用google工作表API我需要让用户授权我的脚本。我想与其他人分享脚本,因此我也考虑分享client_secret.json,但我正在努力理解这涉及的安全风险。

据我了解OAuth2,通过提供client_secret.json,我的脚本进行身份验证,然后用户授权脚本代表用户写入数据,对吗?

因此,我是正确的,当我分享client_secret.json时可能发生的最糟糕的事情是,有人会利用我的服务将数据写入工作表(只有他/她自己或公共的)通过使用我的剧本配额?

1 个答案:

答案 0 :(得分:0)

正如用户@thehowch所说,并且我理解整个过程,共享client_secret.json的主要风险是打开网络钓鱼攻击的攻击媒介,因为有人可以复制client_secret然后呈现他/她自己作为一个值得信赖的权威机构,用户可以在其中授权,从而向攻击者开放谷歌驱动器。

此外,谷歌API的配额使用也会在拥有client_secret的Google项目帐户中注册。因此,攻击者可以通过耗尽配额来阻止我们的使用。当然,与网络钓鱼攻击相比,这种风险无关紧要。就像完整性一样,也是一个副节点。