GoogleOAuth-对客户端ID保密
在Google Cloud Endpoints JavaScript客户端中使用OAuth时,如何保护客户端ID的机密性? 详细介绍了如何在Google Cloud Endpoints JavaScript客户端中实现0Auth。在下面的代码段中,客户机ID作为参数传递给OAuth方法GoogleOAuth-对客户端ID保密,oauth,oauth-2.0,webclient,google-cloud-endpoints,clientid,Oauth,Oauth 2.0,Webclient,Google Cloud Endpoints,Clientid,在Google Cloud Endpoints JavaScript客户端中使用OAuth时,如何保护客户端ID的机密性? 详细介绍了如何在Google Cloud Endpoints JavaScript客户端中实现0Auth。在下面的代码段中,客户机ID作为参数传递给OAuth方法 gapi.auth.authorize({client_id: CLIENT_ID, scope: SCOPES, immediate: mode}, callback); 由于最终用户将以明文形式接收
gapi.auth.authorize({client_id: CLIENT_ID, scope: SCOPES,
immediate: mode}, callback);
由于最终用户将以明文形式接收脚本文件,而不管是否使用HTTPS,您如何避免将客户端ID交给您服务的每个用户?毕竟,梳理JavaScript代码以查找客户机ID是相当简单的。您没有。任何人都可以看到并截获它(正如你所说的),这是令人困惑的代理问题的根源
这就是你为什么这么做的原因。对于令牌验证和混乱代理问题的简单解释,请查看上的这个伟大的SO问答 好的,但是一旦用户成功登录,来自另一个选项卡的应用程序不能使用浏览器会话的凭据来调用他们自己的API吗,因为他们已经有了客户端ID?