5

だから私は何かを理解するのに苦労しています...

Oauth for Web Appsを実行する場合は、サイトをコールバックURLで登録し、一意のコンシューマーシークレットキーを取得します。ただし、Oauth for Web Appsトークンを取得したら、登録済みドメインからGoogleサーバーへのOauth呼び出しを生成する必要はありません。私はラップトップのローカルホストにあるApacheサーバーを介して実行されているスクリプトからキーとトークンを定期的に使用していますが、Googleは「登録済みドメインからこのリクエストを送信していない」とは決して言いません。データを送信するだけです。

さて、私が理解しているように、インストール済みアプリに対してOauthを実行する場合は、Googleから取得した秘密鍵の代わりに「匿名」を使用します。

私は、OAuth for Web Appsの認証方法を使用して、そのトークンを、秘密のコードが内部に埋め込まれているインストール済みアプリに渡すことを考えていました。心配なのは、悪意のある人がコードを発見する可能性があることです。しかし、もっと安全なのは...秘密のコードで機能させるのか、それともデフォルトで匿名にするのか?

代替案が「匿名」を秘密として使用しているときに「秘密」が発見された場合、本当に悪いことは何ですか?

4

2 に答える 2

4

OAuth forWebAppsとOAuthforInstalled Apps(たとえば、コンシューマーキー/シークレットとしての「匿名」/「匿名」)の主な違いは、承認ページです。

インストールされているアプリの場合、GoogleがアプリケーションのIDを確認する方法がないため、黄色の警告ボックスがユーザーに表示されます。

Webアプリの場合、検証できる(アプリの)実際のURLがあります。したがって、醜い警告ボックスはユーザーに表示されません。

于 2010-04-03T21:54:57.157 に答える
0

OAuth 呼び出しを行うときに自分自身を識別する必要があるのは、コンシューマー シークレットで署名された HMAC-SHA1 文字列である署名だけです。ドメインとは一切関係ありません。

適度に安全に保つ必要があるのは、消費者の秘密だけです。「匿名」の意味がよくわからないのですが…

于 2010-04-03T19:08:56.453 に答える