最近,Google 宣布他们支持 Gmail IMAP/SMTP 的 OAUth。我浏览了他们的多个文档,但我仍然对他们是否支持已安装应用程序的 OAuth 感到困惑。
1.
In 本文档他们说:
注意:虽然OAuth协议
支持桌面/安装
应用程序用例,仅限 Google
支持 Web 应用程序的 OAuth。
但他们也有一份文件已安装应用程序的 OAuth.
2.
当我读到OAuth规范他们指出,它说(第 11.7 节):
在许多应用中,消费者
应用程序将受到控制
潜在不受信任的各方。为了
例如,如果消费者是一个自由的
可用的桌面应用程序,
攻击者可能能够下载
复制以供分析。在这种情况下,
攻击者将能够恢复
用于身份验证的消费者秘密
消费者到服务提供商。
另外我认为上面第 1 点中的免责声明是关于谷歌数据 API,并且 IMAP/SMTP 肯定不属于其中。
据我所知,对于已安装的应用程序,我可以进行如下设置:
在 example.com 上为我的应用程序创建一个小型网络应用程序。该网络应用程序与 Google 对话以获取访问令牌。
安装的应用程序与 example.com 通信只是为了获取访问令牌。
然后,安装的应用程序使用访问令牌与 Google 进行对话。
我现在很困惑。
这是唯一的方法吗?
另外,如果我从桌面应用程序进行 OAuth,我们必须随应用程序一起提供消费者密钥。那么,我们就无法维护消费者密钥的秘密。
是的,已安装的应用程序支持 Oauth;看使用 OAuth 的 Gmail IMAP 和 SMTP文档。
- 文档已经过时了(2008)
- 这是有道理的,但仅适用于不以安全方式存储访问令牌的应用程序。
你的设置很好,尽管我不认为有一个与谷歌对话的网络应用程序是强制性的;例如,您的用户只需将“请求令牌”复制并粘贴到您的桌面客户端应用程序即可。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
