有没有办法在不更改客户端ID的情况下更改我们的Google应用的OAuth2客户端密码?
我希望将客户端密码更改为安全性最佳实践(例如,当我们的某个生产系统管理员离开公司时),而无需让所有客户重新授权我们的应用。
我在此论坛上找到的所有内容都是如何为新应用程序生成客户端ID和机密。从我所看到的,唯一的选择是一起生成一个新的客户端ID和秘密,这意味着使用旧客户端ID获得的任何授权都是无用的。
答案 0 :(得分:0)
客户端ID和客户端密钥是一对,它们一起用于创建刷新令牌和访问令牌,允许您的应用程序访问用户数据。如果您只在哪里更改客户端密钥,则生成的刷新令牌和访问令牌将不会与旧客户端保密。但是你可以用任何方式改变一个。
您可以为应用程序创建新的客户端ID和客户端密钥对,然后删除旧的。但是回到这一点将是任何曾经让你的应用程序访问那些数据的人将被迫重新进行身份验证,因为当前的刷新令牌将不再起作用。
虽然我赞赏您的安全感并希望保护您的客户数据。烦人的客户和保护他们之间有一个很好的界限。我想知道这个人有多大的机会偷了一堆刷新令牌以及你的应用程序的客户端ID和客户端密码?我也想知道您的申请具有什么样的访问权限以及您的前雇员可能对他们可能或可能没有窃取的信息造成的损害。是否值得为他们创建一个新的应用程序来使用刷新令牌和应用程序凭证?
您需要判断它是否值得打扰您的客户并强迫他们在每次有人离开公司时重新验证您的应用程序。
答案 1 :(得分:0)
来自AdWords小组的Josh指示我转到右下角的“返回原始控制台”链接。在该版本的控制台中,您可以重置客户机密。
有关交叉发布的信息,请参阅https://groups.google.com/forum/#!topic/adwords-api/twf3O3fg1oA。