谷歌的OAuth进行安装的应用程序与OAuth验证Web应用程序

<p>所以我无法理解的东西... P&gt; </p><p>如果您对Web应用程序做的Oauth,您注册的网站有回调URL,并得到一个独特的消费密钥。但一旦你获得了Web应用程序的令牌一个OAuth,你不必产生OAuth调用从注册域名的谷歌服务器。我经常用我的钥匙,并从通过Apache服务器本地主机上我的笔记本电脑运行脚本令牌和谷歌从来不说“你不发送从注册域名这一要求。”它只是向我发送的数据。 P&gt; </p><p>现在,据我所知,如果你安装的应用程序做的Oauth,您使用的,而不是你从谷歌有一个秘密钥匙“无名氏”。 P&gt; </p><p>我一直在想刚刚使用Web Apps的身份验证方法OAuth的,然后传递一个令牌有我的嵌入其内部结构的秘密代码安装的应用程序中。令人担忧的是,该代码可以通过坏人发现。但是,什么是更安全的......使他们的密电码的工作,或让他们默认为匿名? P&gt; </p><p>如果“秘密”的时候,另一种方法是使用“匿名”的秘密被发现什么是真正变坏? P&gt;
</p>

159 浏览 1 回复
  gt   应用   程序   应用程序   oauth  

回复

    <p>之间的OAuth的Web应用程序和OAuth的主要区别已安装的应用(例如,“无名氏”/“匿名”作为您的消费键/秘诀),是批准页面。 P&gt; </p><p>有关安装的应用程序,有没有办法让谷歌来验证身份 应用程序,一个黄色的警告框显示给用户这样说。 P&gt; </p><p>有关Web应用程序,有一个实际的URL(应用程序)的那<em>可以 em&gt;的验证。 因此,没有难看警告框被呈现给用户。 P&gt; <p>您做一个OAuth的电话时,需要确定自己的唯一的事情就是与您的<strong>消费秘密签署了HMAC-SHA1串签名 strong&gt;即可。有与任何域没有任何关系。 P&gt; <p>您需要保持合理的安全的唯一的事情就是在<strong>消费秘密 STRONG&gt;。我不太让你的“无名氏”虽然... P&gt;是什么意思
    </strong></p></strong></p></em></p>

    郝维

相关提问


友情链接: