我正在使用谷歌日历 API 将事件添加到日历。我想知道这是否会是安全问题,因为我在 JS 中使用客户端 ID 和 API 代码,这些代码可以暴露给使用该应用程序的人? 另外,如果是这样,如何保护这些密钥?
PS- 我正在关注的文档- https://developers.google.com/calendar/quickstart/js
答案 0 :(得分:3)
你注意到重定向uri了吗?重定向 uri 告诉 googles 身份验证服务器返回访问令牌的位置。
即使我获取了您的客户 ID 和客户机密。我无法使用它,因为服务器会将访问令牌发送到重定向 uri 到您的服务器。
这就是为什么你不应该将 localhost 设置为重定向 uri。 ?
RFC oauth2 redirection endpoint
<块引用>完成与资源所有者的交互后, 授权服务器将资源所有者的用户代理引导回 客户端。授权服务器将用户代理重定向到 客户端的重定向端点先前与 在客户端注册过程中或当授权服务器 发出授权请求。
话虽如此,您应该尽量将这些密钥保密,您不应该共享它们或将它们添加到开源项目中。然而,像 javascript 这样的客户端应用程序是一个灰色地带。