【发布时间】:2014-10-02 19:39:04
【问题描述】:
作为安全最佳实践,当工程师/实习生离开团队时,我想重置我的 Google API 控制台项目的客户端密码。
该项目具有由一群人授予的 OAuth2 访问权限,我需要确保这些(授予以及刷新令牌)不会停止工作。不幸的是,我找不到明确说明这一点的文档。
【问题讨论】:
【发布时间】:2014-10-02 19:39:04
【问题描述】:
是的。 重置客户端密码将立即(在 Google OAuth 2.0 中,可能会延迟几分钟)使任何授权“代码”或颁发给客户端的刷新令牌无效。
客户端密码重置是针对私人客户滥用已泄露的客户端密码的一种对策。因此,一旦密码被重置,要求重新授权是有意义的。
我也没有发现任何 Google 文档明确说明了这一点。但是我的实践证明reset会影响用户,你也可以做个测试。
在我们的工作中,我们程序员不会触及产品的秘密,我们有测试客户。只有极少数的产品运营人员可以接触到这一点。因此,我认为您需要尽最大努力缩小团队中秘密的可见性。休息不是个好办法。
【讨论】:
-
如果这个答案在 2014 年是正确的,那么现在它不再正确了。我可以确认重置 google 客户端密码不会使现有的客户端访问/刷新令牌无效。