我打算访问Google的API并使用OAuth2进行身份验证。由于我要从Silverlight浏览器外的应用程序访问它们,我想知道如何保证它足够安全。
我知道保留客户端身份验证所需的所有详细信息有点冒险。我的意思是client_id,client_secret等,因为它们可以很容易地被其他人获得。所以我想知道人们如何绕过这个?在进行身份验证时,您是否会使用网络服务初次联系Google?如果是这样,我如何才能保证安全,以便只有我的Silverlight客户端可以访问它?
答案 0 :(得分:3)
OAuth客户端身份验证不会泄露任何机密信息。如果查看OAuth 2.0 for client-side web applications,您会看到只有必需的信息是public client_id。