让我们说,Stackoverflow的Google Oauth 2.0客户端机密(用于Google登录此网站)已广为人知-在每个页面的顶部以粗体显示,供所有人随意使用。
最糟糕的情况是什么?(请提供具体示例/场景)
我问的原因是,尽管Google Oauth文档中有警告
将您的客户机密保密。如果有人获得了您的客户机密,他们可以使用它来消耗您的配额,对您的Google APIs Console项目收取费用,并请求访问用户数据。
在阅读有关oauth的文档后,我可以肯定地知道 just client_id,无法100%地查询用户数据或对用户或应用所有者造成任何伤害(在这种情况下为Stackoverflow)和client_secret。