我正在使用谷歌日历 API 将事件添加到日历。我想知道这是否会是安全问题,因为我在 JS 中使用客户端 ID 和 API 代码,这些代码可能会暴露给使用该应用程序的人? 另外,如果是这种情况,如何保护这些密钥?
PS- 我关注的文档-https://developers.google.com/calendar/quickstart/js
【问题讨论】:
标签: javascript google-api google-oauth google-api-js-client
你注意到重定向 uri 了吗?重定向 uri 告诉 google 身份验证服务器将访问令牌返回到哪里。
即使我获取了您的客户 ID 和客户密码。我不能使用它,因为服务器会将访问令牌发送到重定向 uri 到您的服务器。
这就是为什么您不应该将 localhost 设置为重定向 uri。 ?
RFC oauth2 redirection endpoint
在完成与资源所有者的交互后, 授权服务器将资源所有者的用户代理引导回 客户端。授权服务器将用户代理重定向到 客户端的重定向端点之前建立的 在客户端注册过程中或当授权服务器 提出授权请求。
话虽如此,您应该尝试将这些密钥保密,您不应该共享它们或将它们添加到开源项目中。然而,像 javascript 这样的客户端应用程序是一个灰色区域。
【讨论】: