- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个 Electron 应用程序需要访问用户 Google Drive,我想实现 api 功能而不必公开客户端密码。据我所知,这在某些情况下是不可能的,例如移动应用程序,但在本地应用程序上执行此操作的正确方法是什么?
尝试跟随 web-app 时来自 Google 的 OAuth 说明,看起来您不能在本地应用程序上使用此方法。当尝试以这种方式设置 OAuth 流程时,它甚至不允许您将 localhost 作为域列入白名单以对用户进行身份验证(这会破坏流程,因为这是在 Electron 上运行的本地应用程序)。再加上这个 paper谷歌发布了,你似乎也不能欺骗授权进程认为它没有在本地主机上运行,你也不能在浏览器中运行 Node.js(我使用的是 Electron,所以这是不可能的) .
然后我尝试关注他们的 Mobile and Desktop app看起来很有希望的工作流程。当您需要 Exchange authorization code for refresh and access tokens 时,问题就出现了.这再次要求您在主应用程序中显示您的客户端密码。然后我将其拆分并在本地执行其中的一些操作,然后拥有一个验证服务器来保存客户端 secret 并从客户端交换授权代码并返回刷新和访问 token 。看着 diagram Google 提供了可视化此过程的功能,它清楚地表明您的应用需要执行授权过程的两个部分,因此这个想法也被淘汰了。
我个人使用和查看的一个应用程序是 rclone,从外观上看,他们只是在他们的 code 中直接列出了他们的客户端 ID 和密码。 .客户端 secret 已加密,但如果您按照工作流程进行操作,它会通过同样为 stored locally on the app 的 key 显示出来。 .所以它的纯文本是模糊的,但是没有什么可以阻止任何人通过稍微修改代码来获取客户端 secret 。
我还应该提到这个应用程序在 GitHub 上的公共(public)存储库中,并将保持这种状态。
这是我第一次使用 OAuth,所以我可能误解了一些东西,但我尝试尽可能仔细地遵循文档并且无法摆脱我忽略了这个过程的一部分的感觉。
如果解决此问题的唯一方法是公开客户端 ID 和密码,这是否会导致用户数据泄露?由于 Google Drive API 是免费使用的,所以我并不介意其他人使用我的部分配额。我更担心安全问题。
最佳答案
对于您正在开发的桌面应用等公共(public)客户端,您需要使用 PKCE 流程。没错,Google 的文档似乎不在此处 - 您不需要将 client_secret
作为授权代码交换的一部分传递。
这里的文档支持:https://www.oauth.com/oauth2-servers/pkce/authorization-code-exchange/
Google 可能需要 client_secret
,但它并未将该参数视为公共(public)客户的真正“ secret ”,而是一个不敏感的附加标识符,并且在其上不够充分拥有代表您的应用程序做任何事情。 Section 8.5 of the specification阅读:
Secrets that are statically included as part of an app distributed tomultiple users should not be treated as confidential secrets, as oneuser may inspect their copy and learn the shared secret. For thisreason, and those stated in Section 5.3.1 of [RFC6819], it is NOTRECOMMENDED for authorization servers to require client authentication of public native apps clients using a shared secret,as this serves little value beyond client identification which isalready provided by the "client_id" request parameter.
Authorization servers that still require a statically included sharedsecret for native app clients MUST treat the client as a publicclient (as defined by Section 2.1 of OAuth 2.0 [RFC6749]), and notaccept the secret as proof of the client's identity. Withoutadditional measures, such clients are subject to client impersonation(see Section 8.6).
您还可以查看独立的 OAuth 服务提供商,例如 Xkit我工作的地方。这样一来,您就可以在继续执行 OAuth 流程的同时对 secret 保密。
关于node.js - 如何在 Electron 应用程序上正确存储 Google Drive API 的客户端 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65722648/
这里的这个问题对 updating Google Sheets charts linked to Google slides 有一个简洁的解决方案. function onOpen() { var
我正在尝试将 Google 表单添加到 Google 类作业中,但似乎不可能。 首先,它在这里 ( https://developers.google.com/classroom/reference/
出于某种原因,无论我做什么以及我如何尝试,这个日期格式化程序都不起作用。工具提示仍然显示错误的格式。你可以试试代码here . 在代码中我必须注释掉 formatter.format(dataTabl
我目前正在使用访问 token 和刷新 token 从 Google Analytics Reporting API (v4) 中提取数据。当我致力于自动从 Google Analytics 中提取数
我已在 Google 云端硬盘中创建了一个文件夹,例如测试一下,放入3个文件 a.jpg, b.jpg, c.jpg 我希望在同一帐户下的 Google 电子表格中访问文件,例如生成图像文件的链接,可
电子表格 A 是欢迎新移民来到我们小镇的团队的主数据源。它里面有大量非常敏感的数据,不能公开,哪怕是一点点。 (我们谈论的是 child 的姓名和出生日期以及他们在哪里上学……保证电子表格 A 的安全
有没有办法在 Google 文档中编写 Google Apps 脚本以从 Google 表格中检索仅限于非空白行的范围并将这些行显示为表格? 我正在寻找一个脚本,用于使用 Google Apps 脚本
有没有办法在 Google 文档中编写 Google Apps 脚本以从 Google 表格中检索仅限于非空白行的范围并将这些行显示为表格? 我正在寻找一个脚本,用于使用 Google Apps 脚本
尝试检索存储在 google firebase 中名为条目的节点下的表单条目,并使用谷歌工作表中的脚本编辑器附加到谷歌工作表。 我已将 FirebaseApp 库添加到谷歌表脚本编辑器。然后我的代码看
是否可以将我的 Web 应用程序的登录限制为仅限 google 组中的帐户? 我不希望每个人都可以使用他们的私有(private) gmail 登录,而只能使用我的 google 组中的用户。 最佳答
我们想使用 Google 自定义搜索实现 Google 附加链接搜索框。在谷歌 documentation , 我发现我们需要包含以下代码来启用附加链接搜索框 { "@context"
我想将特定搜索词的 Google 趋势图表添加到我的 Google Data Studio 报告中,但趋势不是数据源列表中的选项。我也找不到嵌入 JavaScript 的选项。是否可以将趋势图表添加到
是否可以将文件从 Google Drive 复制到 Google Cloud Storage?我想它会非常快,因为两者都在类似的存储系统上。 我还没有看到有关无缝执行此操作的任何方法的任何信息,而无需
之间有什么区别 ga('send', 'pageview', { 'dimension1': 'data goes here' }); 和 ga('set', 'dimension1', 'da
我正在尝试记录每个博客站点作者的点击率。 ga('send', 'pageview'); (in the header with the ga code to track each page) ga(
我设置了 Google Tag Manager 和 2 个数据层变量:一个用于跟踪用户 ID,传递给 Google Analytics 以同步用户 session ,另一个用于跟踪访问者类型。 在使用
我在我们的网站上遇到多个职位发布的问题。 我们在加拿大多个地点提供工作机会。所有职位页面都包含一个“LD+JSON ”职位发布的结构化数据,基于 Google 的职位发布文档: https://dev
公司未使用 Google 套件,使用个人(消费者)帐户(甚至是 Google 帐户)违反公司政策。 需要访问 Google Analytics - 没有 Google 帐户是否可能? 谢谢 最佳答案
我想分析人们使用哪些搜索关键字在 Play 商店中找到我的应用。 那可能吗?我怎么能这样做? 最佳答案 自 2013 年 10 月起,您可以关联您的 Google Analytics(分析)和 Goo
Google Now 和 Google Keep 中基于时间和位置的提醒与 Google Calendar 事件提醒不同。是否有公共(public) API 可以访问 Now 和 Keep 中的这些事
我是一名优秀的程序员,十分优秀!