Oauth 2.0 我有一个我创建的GoogleDrive应用程序，我应该对应用程序的用户隐藏客户端机密吗？

我有一个我创建的GoogleDrive应用程序，可以帮助从命令行上传和下载文件。它使用客户机机密和客户机id变量来获取刷新令牌，据我所知，这是用户的标识。我想知道这个秘密是否是我需要向用户隐瞒的

似乎我可以进入auth app页面，用户可以在其中选择他们的电子邮件帐户，而不需要客户端密码，但是当使用验证码请求刷新令牌时，它不会通过

我应该如何处理从

https://console.developers.google.com/

？

如果您阅读了创建客户机时同意的

客户端id和客户端机密将您的应用程序标识到google。所有使用客户端id和密码通过身份验证服务器发出的请求都假定来自您的应用程序。如果你给其他人访问权限，他们可以使用你的客户id和secret创建自己的应用程序，对谷歌的每个人来说，它仍然是你的应用程序。任何垃圾邮件都将假定为您，并将阻止您的帐户，任何针对配额的费用都将假定为您，并应用于您的账单帐户

您不能共享您的客户机id和密码。这应该嵌入到您的应用程序中，仅供您和您的开发人员查看

如果无法做到这一点，那么您需要指导您的用户如何在Google开发者控制台上创建自己的项目，创建自己的客户id和密码，以及如何完成验证过程

刷新令牌专用用户数据 刷新令牌实际上是您的应用程序访问用户数据的权限，使用该权限和客户端id，任何人都可以创建访问令牌并访问私有用户数据。再次出现在TOS中

---

当你说“保持嵌入”时，这是否意味着我需要对其进行某种加密？或者，如果我把它放在应用程序的某个深处，纯文本是允许的吗？如果我可以打开一个计划文本文件，那么我就可以访问它，我可以滥用你的客户id和客户机密。例如，您需要作为Dll的一部分进行编译，或者作为托管在服务器上的web应用程序发布。你不能只将源代码共享给一个包含明文客户端ID和客户端秘密的人不允许。所以，基本上，client和秘密应该考虑用户凭据，这样处理吗？简单地把它们当作对待Web应用程序上的用户名和密码一样对待是正确的吗？