OAuth 2.0 - 客户端秘密是否必须是“秘密”？

2024-01-22

我只是好奇 - 我需要保留客户端秘密来自 Google/FaceBook/其他 OAuth 2.0 提供商的“秘密”地方？据我所知，一旦我指定了非常严格的回调网址，就可以使用客户端秘密参数完成很少的事情。

例如，将“秘密”密钥提交到 github/bitbucket/etc 是否安全？public一些实时网络项目的存储库？

据我所知，client-secret 与 google/facebook 上的开发者帐户没有任何共同之处，因此不可能将其用于劫持或欺骗。

我错过了什么吗？谢谢！

尽量保密。

对于网络应用程序来说，保密至关重要，整个流程的安全性依赖于此。

对于本机应用程序，请尽力而为。它总是可以从您的二进制文件进行逆向工程，但在某些情况下这可能并不简单。如果可能的话，不要直接提交给 github 等。您可以将其添加为构建过程的一部分。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

oauth20

facebookoauth

googleoauth

OAuth 2.0 - 客户端秘密是否必须是“秘密”？的相关文章

如何在 API 模式下使用 Doorkeeper 处理 OAuth 流程？

场景很简单 A 仅限 Rails API带有 Doorkeeper 提供商的服务器 A 移动应用 and a SPA 假设是 React 想要使用电子邮件和密码注册和登录的用户当你有一个正常的Rails 堆栈你需要定义一个authori
客户端检索 Google 联系人图片

我正在使用 Google JavaScript API 在网络应用程序中获取 Google 联系人并且我想检索他们的照片我正在做这样的事情大大简化 var token let s admit this is available alr
正在加载服务帐户 Json 密钥文件

Google 最近开始为我们提供服务帐户的 Json 密钥文件而不是 P12 密钥文件我一直在试图了解这一点但那里没有太多信息而我所看到的信息表明这应该有效 string scopes new string DriveService
Google API 控制台 - 缺少客户端密钥

我尝试为 Android 应用程序创建一个测试客户端 ID 该应用程序使用 OAUTH 2 0 作为检索用户配置文件的登录名我按照步骤在谷歌控制台上完成了客户端 ID 的创建但我没有在任何地方看到客户端密钥我正在尝试帮助我的雇主获取其
当用户存储在外部身份提供商服务中时与用户的关系

我正在尝试为其创建一个 API 和一个网站客户端最近我读了很多关于 OAuth2 作为安全机制的文章以及提供身份验证服务的公司例如auth0 com https auth0 com 甚至 Azure Active Directory
通过 Instagram API 访问公共 Instagram 内容，且 accesstoken 不会过期

我想显示来自 Instagram 的与特定主题标签相关的公共内容一切正常但我无法更新access token每次过期的时候不要假设您的 access token 永远有效 https www instagram com develop
Spring Cloud Gateway + Spring安全资源服务器

我真的不会把它放在这里但我真的很困惑我想实现以下目标我在跑步 Java 14 Spring Cloud Gateway版本 Hoxton SR3 Spring Boot版本 2 2 5 RELEASE 现在我想将安全性集成到我的网关和
如何使用环回设置 OAuth 2.0 服务器

我想使用名为 Loopback component oauth2 的包使用 Loopback 设置 OAuth 2 0 服务器文档在这里 https docs strongloop com display public LB OAuth
如何使用 ASP.Net Core Identity 从登录用户检索 Google 个人资料图片？

好的我目前正在使用 ASP NET Core 1 1 2 和 ASP NET Core Identity 1 1 2 其中重要的部分是启动 cs看起来像这样 public void Configure IApplicationBuilde
具有桌面应用程序安全性的 OAuth2

我有一个 Electron 应用程序它基本上是一个 Google Drive 客户端我打算使用 OAuth 2 但是 Google API 要求我在生成 client secret 的地方注册我的应用程序由于这是一个桌面应用程序因此
使用自己的 Web 应用程序 API - 使用 OAuth2 进行身份验证过程

Overview 我目前正在为图像共享应用程序创建 API 该应用程序将在网络上运行将来在移动设备上运行我了解 API 构建的逻辑部分但我仍然在努力满足我自己对身份验证部分的要求因此我的 API 必须可供全世界访问具有访客访问权
无法删除 OAuth 同意屏幕

我前段时间为一个项目创建了一个OAuth 同意屏幕 https console cloud google com apis credentials consent关于 Google API 和凭证这是非常愚蠢的但似乎一旦创建就无法删除它
使用 Google OAuth2.0 时出现错误请求

从 Salesforce 中使用 Google OAuth 时我收到 400 错误请求以下错误与无效的 grant type 有关但如果您查看使用刷新令牌下的文档您会发现它是正确的 https developers google
Spring Oauth2. DaoAuthenticationProvider 中未设置密码编码器

我对 Spring Oauth 和 Spring Security 很陌生我正在尝试在我的项目中使用 client credentials 流程现在我设法使用自己的 CustomDetailsS ervice 来从系统中已存在的数据库
org.springframework.security.oauth2.common.exceptions.InvalidGrantException：凭据错误

我正在开发Spring Boot 授权服务器 OAuth 资源服务器在这个例子中我可以通过邮递员轻松查询spring microservices oauth 服务器并获取受保护的数据我创建了客户端来访问邮递员正在执行的数据但我遇到了
Google javascript 登录 api：无法离线访问

我正在尝试为服务器端应用程序实现 Google 登录如 Google 文档中所示服务器端应用程序的 Google 登录 https developers google com identity sign in web server si
使用 Web API AuthorizeAttribute 角色的 Azure AD OAuth 客户端凭据授予流程

Given 我们有 NET Web API 服务它使用以下方式保护对控制器和操作的访问授权属性 https learn microsoft com en us dotnet api system web mvc authorizeattr
Firebase 身份验证无法启用 Google 身份验证方法 - “更新 Google 时出错”

我正在尝试使用 Google Auth 登录方法启用 Firebase 身份验证但启用它并单击保存显示错误更新 Google 时出错 https i stack imgur com HMVGD png 在 Google Cloud
雅虎 OAuth2 隐式授予流程不适用于新的雅虎应用程序

我有现有的网络应用程序和专用雅虎应用程序 https developer yahoo com apps 在职的它用OAuth2 隐式授权流程 https developer yahoo com oauth2 guide flows imp
OAuth2 变量redirect_uri

我们正在编写一个与 OAuth2 API 集成的插件棘手的部分是我们无法像大多数集成中那样对重定向 URI 进行硬编码因为客户端可以在他们控制的任何域上安装此插件例如 Wordpress 插件并且访问令牌需要重定向回其自定义 ur

随机推荐

检查android listview是否向下滚动到最后一项

我有一个列表视图其中有几个项目我想检查列表是否向下滚动到最后一项在这种情况下我想运行另一个方法该怎么做第一组isLoading false 在构造函数中或onCreate method mListView setOnScrollL
PyAudio：如何捕获内部音频（不是来自麦克风）？

尝试过这样的 p pyaudio PyAudio stream p open format FORMAT channels CHANNELS rate RATE output True frames per buffer chunk all
SSIS Oracle 提供商 OLEDB 连接器中的 Oracle Wallet 集成

我已经在 Windows 7 的机器中成功配置了 Oracle 钱包我还通过执行以下命令进行了检查 sqlplus myoracleDB 并成功连接到数据库我正在尝试在我的计算机中执行 SSIS 包 DTSX 版本 2012 在数据流任
如何将 event.preventDefault 与 KnockoutJs 单击事件处理程序一起使用？

我将下表行作为 KnockoutJs 中的脚本模板
jquery 验证：如果提交按钮失去焦点，如何防止模糊（焦点消失）验证

我有一个文本框如果在文本框中输入无效值后单击提交按钮我不希望对模糊进行验证如果我模糊到任何其他控件那么我do希望进行验证 Windows 桌面窗体允许将控件指定为 no causing validation 对于这种具体情况是否
Winston：尝试在没有传输的情况下写入日志

我正在尝试使用 Winston 为我的 Express 服务器设置访问日志和错误日志但我似乎做错了什么这是我对配置文件的尝试 const winston require winston fs require fs const tsFor
apt-get 在公司代理后面的 docker 中

我正在尝试使用 Docker 在企业代理服务器后面设置一个开发环境尽我所能我无法让 docker 容器与代理服务器通信代理服务器和 apt get 在主机 Ubuntu 12 04 上工作正常 Dockerfile 中完成的第一件事是
“分组依据”代理模型

我有理论上无限深度的树模型和一些属性组除了标准视图之外我还需要以这样的方式显示此模型并保持同步即每个组都成为具有相同属性值的所有项目的虚拟父级使用 Qt 的模型视图架构实现此目的的最佳方法是什么不久前我通过在模型中添加删
PHP邮件功能不以html格式发送

在 PHP 中我尝试以 HTML 格式发送电子邮件到目前为止我有这个 subject Password Reminder message Your password is b password b br br br br me mess
单击 ng-grid/ui-grid celltemplate 会导致选择行。

当我将 celltemplate 用于 ahref 链接时一旦单击链接行就会突出显示因为我启用了 RowSelection 但我不希望在单击链接时突出显示该行仅当在除链接之外的任何位置单击该行时另外在下面的示例图片中如何删除
windows 8 xaml 内联超链接

如何在 XAML 中的 Windows 应用商店应用中创建格式正确的超链接我尝试创建一个内联超链接并希望使用静态资源对其进行样式设置
Checkstyle：尾随空格正则表达式问题

我正在将 Checkstyle 添加到我的项目中但检测空格的规则不够好 RegexpSingleline lt S s 它检测尾随空格并仅忽略带有空格的行它应该允许缩进的空白行它在大多数情况下工作正常但它抱怨使用空行的 javado
适用于多种设备的演示技术

我们的应用程序应该为多种设备提供服务从简单的智能手机 iPhone 触摸屏到普通浏览器应用程序是分层的因此我们可以重用业务层和持久层然而我们也想对单个表示层进行编程例如我知道 ASP NET 根据浏览器类型生成不同的 html
在 Mac (OS High Sierra) 上安装 Flask-mysqldb (python 3) 时出错

在按照在线教程创建 Flask Web 应用程序时我尝试使用以下命令安装 Flask mysqldbsudo pip3 install flask mysqldb 这会导致安装错误该错误似乎源于依赖性问题错误信息如下Command u
如何在Python中根据椭圆的一般方程绘制椭圆

我知道matplotlib可以根据椭圆的中心半长轴长度半短轴长度以及x轴和长轴之间的角度来绘制椭圆但是有没有简单的方法可以像Matlab一样根据椭圆的一般方程绘制椭圆 ezplot 3 x 2 2 x y 4 y 2 5 我找到了一种
如何测试文件列表是否存在？

我有一个列出文件名的文件每个文件名都在自己的行上我想测试每个文件名是否存在于特定目录中例如文件的一些示例行可能是 mshta dll foobar dll somethingelse dll 我感兴趣的目录是X Windows Sy
在 Azure 角色中使用 SmtpClient 时出现“不支持请求的功能”异常

在 Azure Web 或辅助角色中使用 SmtpClient 时出现异常我创建了一个控制台应用程序通过 RDP 在角色虚拟机上手动运行以进行重现 using System using System Net using System N
使用节点和角度应用程序刷新页面时获取 404 页面

我是新来的Angular 我尝试使用创建 CRUD 操作Nodejs and Angular 我在用Nodejs and Express对于支持和Angular对于前端当我使用 routerLink 在页面上导航时它工作正常但是当我在
具有递归可变参数函数的字符串流？

我希望能够使用 ostringstream 将多个不同的参数组合成一个字符串这样我就可以记录生成的单个字符串而不会出现任何随机问题我到目前为止 template
OAuth 2.0 - 客户端秘密是否必须是“秘密”？

我只是好奇我需要保留客户端秘密来自 Google FaceBook 其他 OAuth 2 0 提供商的秘密地方据我所知一旦我指定了非常严格的回调网址就可以使用客户端秘密参数完成很少的事情例如将秘密密钥提交到 github

OAuth 2.0 - 客户端秘密是否必须是“秘密”？

OAuth 2.0 - 客户端秘密是否必须是“秘密”？ 的相关文章

随机推荐

热门标签

OAuth 2.0 - 客户端秘密是否必须是“秘密”？的相关文章