5

在 Google Cloud Endpoints JavaScript 客户端中使用 OAuth 时,如何保护客户端 ID 的机密性?

此处详细介绍了如何在 Google Cloud Endpoints JavaScript 客户端中实现 0Auth 。在下面的代码片段中,客户端 ID 作为参数传递给 OAuth 方法。

gapi.auth.authorize({client_id: CLIENT_ID, scope: SCOPES,
    immediate: mode}, callback);

由于最终用户将以明文形式接收脚本文件,无论使用 HTTPS,您将如何避免将客户端 ID 交给您服务的每个用户?毕竟,梳理 JavaScript 代码找到客户端 ID 会相当简单。

4

1 回答 1

4

你没有。任何人都可以看到并拦截它(如您所说),这是混淆代理问题的根源。

这就是您验证令牌的原因。有关令牌验证和混淆代理问题的简单解释,请查看关于如何以及为何执行 Google OAuth 令牌验证的这个伟大的 SO 问题和答案。

于 2014-03-08T08:45:55.310 回答