8

我只是好奇 - 我是否需要将来自 Google/FaceBook/另一个 OAuth 2.0 提供商的client_secret保存在“秘密”位置?据我所知,只要我指定了非常严格的回调 URL,就可以使用 client-secret 参数完成很少的事情。

那么,例如,将“秘密”密钥提交到 github/bitbucket/etc 作为某个实时 Web 项目的公共存储库是否安全?

据我所知,client-secret 与 google/facebook 上的开发者帐户没有任何共同之处,因此不可能将其用于劫持或欺骗。

我错过了什么吗?谢谢!

4

1 回答 1

-1

尽量保密。

对于 Web 应用程序而言,保密至关重要,整个流程的安全性都依赖于此。

对于本机应用程序,请尽力而为。它总是可以从您的二进制文件中进行逆向工程,但在某些情况下,这可能不是微不足道的。如果可能的话,不要直接提交给 github 等。您可以将其添加为构建过程的一部分。

于 2013-07-01T18:32:08.677 回答