1

我正在为 iPhone 制作一个应用程序,所有用户都可以访问同一个谷歌驱动器文件夹来上传文件。此 google drive 帐户由公司而非用户管理。在那里我想跳过谷歌登录表单,只给用户访问权限。理想的用户甚至不知道他/她正在使用谷歌驱动器。

我查看了 drEdit 示例并查看了 oauth 文档。是否可以为所有用户使用一个 refresh_token 来访问?所以我登录一次,访问权限,以某种方式将 refresh_token 和硬代码存储在应用程序中以供将来使用,以便所有用户都使用该 refresh_token 进行访问。还是有更好的想法来做到这一点?

亲切的问候,

斯蒂金

4

1 回答 1

0

以为有一个类似的问题,但找不到我正在寻找的问题。简短的回答是您需要非常小心如何执行此操作。像这样在你的应用程序中嵌入刷新令牌会招致滥用,特别是如果它被授权进行写访问。一旦聪明的用户或攻击者发现了该值,他们就可以使用该令牌以任意方式调用 API。如果授权全盘范围,那就意味着还可以恶意修改或删除文件,偷偷存储自己的内容等等……

如果您确实需要匿名或共享访问存储在云端硬盘中的内容,最好通过自己的服务器代理请求,以便控制与云端硬盘的交互。

于 2013-01-07T21:55:54.807 回答