0

当我第一次在 php 环境中尝试 google api 时,我感到很困惑,它要求我使用通过 api 控制台获得的“客户端密钥”密钥。在 Javascript api 示例中不需要这样的密钥,我知道如果它在那里,代码将不再是秘密的。

谷歌仍然需要 php 代码中的密钥有什么原因吗?JS 和 PHP api 之间有什么不同吗,有什么东西只能在 PHP 中完成吗?

4

1 回答 1

1

OAuth2 规范区分客户端类型并为它们提供不同的工作流程。

通常,规范建议使用成熟的“授权码授予”方案。由于您的 PHP 应用程序在远离最终用户的 Web 服务器上运行,因此 PHP 应用程序可以保护其客户端机密不被外界泄露。

相反,嵌入式客户端(如手机上运行的应用程序或浏览器中的 javascript)无法保护客户端机密,因为它们的环境很容易从外部访问。因此,该规范具有完全不同的“隐式授权”场景,不需要使用客户端机密。

于 2014-07-28T08:55:04.637 回答