我正在构建使用OAuth的自定义Power BI DataConnector。我正在关注github example。但这会将客户端凭据(OAuth中的'code flow'所需)存储为纯文本文件。有安全的替代方法吗?
答案 0 :(得分:1)
不幸的是,由于当前的“最新技术”,根据Microsoft员工Curt Hagenlocher的说法,无法安全地保护这些凭据:
没有办法保护某人桌面上的秘密。这就是为什么某些OAuth提供程序(例如AAD)支持“本地应用”模式的原因,该模式中存在客户端ID,但没有秘密。这个领域的最新进展是PKCE,我们的目标是在今年晚些时候提供示例代码。
原则上,可以单独提供一个秘密以供服务使用-我希望有一天我们能做到这一点-但需要建立许多基础结构来支持该秘密。
我建议对模块本身进行加密,Curt的回答是这也将无效:
某人需要做的就是运行Fiddler,他们可以看到 到底是什么秘密被发送到令牌端点。
完整对话: