Oauth 2.0 OAuth2-永久访问我的帐户的安全性

我想允许用户在我的网站上下载文件，但有些需要一定数量的点数。我使用的是小型主机，所以它们和购买的额外空间一起存储在我的Google Drive帐户上

我将访问类型设置为“脱机”，如果访问令牌过期，我将使用刷新令牌续订访问令牌。主要问题是，控制台显示包含令牌的请求

---

我想知道，用户是否可以使用access_令牌来访问文件，尽管他们没有足够的点数？隐藏请求的最佳方式是什么？

好的，我想我明白你的问题；实际上，访问令牌应该具有与之相关的权限，只允许它代表您下载特定的文件，但我认为Google的访问令牌不可能实现粒度；因此，您必须在您的服务中实现您自己的系统，并考虑到这种粒度

因此，您将只在后端服务中保留访问令牌，并让Javascript客户端调用后端服务以获取特定文件，然后在后端服务中检查用户是否被允许，如果允许，将请求传递给Google

---

编辑：这里描述了这一点：

您指的是哪个“控制台”？如果是浏览器的Javascript控制台，那么这将是一个什么问题，因为拥有足够点数的用户能够访问该控制台，假设您不向没有足够点数的用户颁发访问令牌。是的，我指的是浏览器的控制台。据我所知，我不应该透露访问令牌。若用户有下载文件的权限，但不必下载另一个文件，该怎么办？他可能知道这个令牌，但他能用它下载另一个文件吗？对不起，我的意思是完全不同的。在进行身份验证时，您可以看到对Google服务器的请求，其中包含参数中的access_令牌。若用户有足够的点数，那个么他将知道令牌。根据关于向用户透露它的安全性的问题，我想知道，他是否可以在我的站点之外使用它来访问文件？你可以使用一个不在前端通道中公开访问令牌的流，即所谓的“代码”流；在此流中，返回一个“code”参数，该参数只能用于由经过身份验证的客户端（即后端服务）交换访问令牌