我正在實作一個使用 Google Client ID 和 Google Client Secret 的登錄流程。我正在考慮 Google Client Secret 的安全隱患以及誰應該能夠訪問它。
目前,客戶端密碼存盤在環境變數中,但我想知道有權訪問此密碼的人可以使用它來確定哪些開發人員應該有權訪問此環境變數以及我是否應該在開發中設定不同的 OAuth2 應用程式與生產。
uj5u.com熱心網友回復:
客戶端 ID 和客戶端密碼類似于登錄名和密碼。它們使您的應用程式能夠請求用戶同意訪問他們的資料。如果您正在存盤重繪 令牌,它還將授予用戶從您的重繪 令牌創建訪問令牌的權限。
谷歌的 TOS 狀態
要求開發人員做出合理的努力來保護他們的私鑰,而不是將它們嵌入到開源專案中。
你不應該與任何人分享這個。它只能由您和您的開發人員使用。
是的 理想情況下,您應該有一個測驗和生產客戶端 ID。您的開發人員可以使用測驗客戶端 ID,唯一應該使用您的生產驗證專案客戶端 ID 的人是您的生產環境。我會將它們存盤在一些用于個人秘密存盤的地方。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/474332.html
上一篇:Checkmarx:如何解決Unsafe_Use_Of_Target_blank問題?
下一篇:Mysql容器密碼安全
