【发布时间】:2021-06-04 19:49:55
【问题描述】:
我想在我的应用程序中实现 Google 日历。因此,作为开发人员,我去控制台下载我的 secret.json,现在可以访问数据。但作为客户,您不必处理所有这些,您只需看到 OAuth 屏幕,然后就可以登录。那么我该如何从我必须手动下载密码才能登录。
【问题讨论】:
【发布时间】:2021-06-04 19:49:55
【问题描述】:
概念不同。一个重要的注意事项是客户端是指客户端应用程序。用户使用一个应用程序,该应用程序是身份提供者的客户端(在您的情况下是 Google,对吗?)。
用户登录是用户告诉身份提供者他是谁的方式。这通常使用Authorization Code Flow 完成。
机密(客户端机密)在使用时必须仅由客户端应用程序和身份提供者(身份验证服务器)知道。这样,当应用程序向服务器执行请求时,秘密有助于证明请求的真实性。有时,秘密是必需的,但并非总是如此,它可能是可选的。
因此,客户端密钥可以用于不同的场景,例如提到的授权代码流或通常用于机器对机器的流(例如Client Credentials Flow)。
也许,您正在实施类似于 Google 文档描述 here 的东西。您可能可以使用授权代码流,让您的应用将密钥发送到 Google 身份服务器(但是,用户不知道这一点)。
【讨论】: