Authentication 谷歌';s Oauth适用于已安装的应用程序,而Oauth适用于Web应用程序
所以我很难理解 如果您为Web应用程序执行Oauth,则使用回调URL注册您的站点,并获得唯一的使用者密钥。但是,一旦您获得了Oauth for Web Apps令牌,您就不必从注册域向google服务器生成Oauth调用。我经常在笔记本电脑上使用通过apache服务器在localhost上运行的脚本中的密钥和令牌,Google从不说“你不是从注册域发送这个请求”,它只是向我发送数据 现在,据我所知,如果您为已安装的应用程序使用Oauth,您将使用“匿名”而不是从Google获得的密钥 我一直在考虑使用OAuth for Web Apps auth方法,然后将该令牌传递给已安装的应用程序,该应用程序的内部嵌入了我的密码。令人担忧的是,这些代码可能会被坏人发现。但更安全的是。。。让他们为密码工作还是让他们默认为匿名Authentication 谷歌';s Oauth适用于已安装的应用程序,而Oauth适用于Web应用程序,authentication,oauth,gdata-api,gdata,Authentication,Oauth,Gdata Api,Gdata,所以我很难理解 如果您为Web应用程序执行Oauth,则使用回调URL注册您的站点,并获得唯一的使用者密钥。但是,一旦您获得了Oauth for Web Apps令牌,您就不必从注册域向google服务器生成Oauth调用。我经常在笔记本电脑上使用通过apache服务器在localhost上运行的脚本中的密钥和令牌,Google从不说“你不是从注册域发送这个请求”,它只是向我发送数据 现在,据我所知,如果您为已安装的应用程序使用Oauth,您将使用“匿名”而不是从Google获得的密钥 我一直在
当备选方案使用“匿名”作为秘密时,如果发现了“秘密”,那么真正糟糕的是什么?在执行OAuth调用时,您需要识别自己的唯一一件事是签名,它是一个HMAC-SHA1字符串,用您的消费者秘密签名。与任何领域都没有任何关系
您唯一需要保持合理安全的是消费者机密。我不太明白你所说的“匿名”是什么意思…Web应用的OAuth和已安装应用的OAuth(例如,“匿名”/“匿名”作为你的消费者密钥/密码)之间的主要区别是审批页面 对于已安装的应用程序,谷歌无法验证用户的身份 应用程序,因此会向用户显示一个黄色警告框 对于web应用程序,有一个(应用程序的)实际URL可以验证。 因此,不会向用户显示丑陋的警告框