根据the Google Drive documentation,应用程序需要一个所谓的“客户端密码”才能与Google Drive SDK进行交互 - 即使在客户端JavaScript应用程序的情况下,代码也是如此很明显,所有人都可以看到。 (当然,在任何其他客户端代码中它并不是那么安全,它只是为了找到“秘密”的更多工作......)
所以,嗯:
如何在应用程序中分发这些“秘密”?
有什么理由说这种逻辑不适用于开源计算机程序?
BONUS:对这些应用程序使用基于用户的身份验证不是更有意义,而不假装将应用程序认证为特定应用程序吗?
答案 0 :(得分:2)
虽然为使用Google服务的所有应用生成客户端密钥确实如此,但客户端机密从未被浏览器/ javascript应用程序使用。通常是一个浏览器应用程序(我使用短语" browser-app"而不是" Javascript app"因为服务器node.js应用程序也使用Javascript)将使用gapi进行身份验证和授权这里描述的图书馆https://developers.google.com/api-client-library/javascript/reference/referencedocs#gapiauthauthorize。如您所见,Client Secret永远不会被使用。
所以,选择你的问题......