我可以发布我的博客应用程序的client_id.json吗?

时间:2018-08-17 13:43:20

标签: google-api google-oauth blogger

我正在用python编写命令行工具来发布/编辑/删除Blogger帖子。由于身份验证使用OAuth2,因此我已在Google API上请求了API凭据。它以client_id.json文件的形式出现。

{
  "installed": {
    "client_id": "<removed>",
    "project_id": "<removed>",
    "auth_uri": "https://accounts.google.com/o/oauth2/auth",
    "token_uri": "https://www.googleapis.com/oauth2/v3/token",
    "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
    "client_secret": "<removed>",
    "redirect_uris": [
      "urn:ietf:wg:oauth:2.0:oob",
      "http://localhost"
    ]
  }
}

我计划使该应用程序开源。

  • 如果有人拥有该文件,这是否意味着他可以访问所有允许该应用管理其博客的人?
  • 是否期望单独的用户生成自己的API密钥?

1 个答案:

答案 0 :(得分:1)

不,你不能,这就是原因。

  

我计划使该应用程序开源。

     
      
  1. 如果有人拥有该文件,这是否意味着他可以访问所有允许该应用管理其博客的人?
  2.   

是的,如果某人拥有您的凭据文件,他们可以执行他们想要的任何事情。使用您的帐户并可能向您的开发人员帐户添加垃圾邮件,导致您无法访问自己的帐户,请参见Can I really not ship open source with Client ID?

  
      
  1. 是否期望单独的用户生成自己的API密钥?
  2.   

任何下载您的开源项目并想要使用它的人都不需要在Google Developer Console上制作自己的凭据文件。根据{{​​3}},您不得与其他用户共享您的凭据文件。