谷歌的OAuth用於安裝的應用程序與OAuth驗證Web應用程序

Question

所以我無法理解的東西...

如果您對Web應用程序做的Oauth，你有一個回調的網址註冊您的網站，並獲得一個獨特的消費密鑰。但是，一旦您獲得了Web應用程序令牌的Oauth，您就不必從註冊的域中向您的谷歌服務器生成Oauth調用。我經常在我的筆記本電腦上通過本地主機上的apache服務器運行的腳本中使用我的密鑰和令牌，並且Google從不會說「您不是從註冊的域發送此請求」。它只是給我發送數據。

現在，據我瞭解，如果您爲安裝的應用程序執行Oauth，則使用「匿名」而不是您從Google獲得的密鑰。

我一直在考慮將OAuth用於Web Apps auth方法，然後將該令牌傳遞給已將其密碼嵌入其內部的已安裝的應用程序。擔心的是代碼可能被壞人發現。但更安全的是......讓他們爲祕密代碼工作或讓他們默認爲匿名？

如果在另一個選擇是使用「匿名」作爲祕密時發現「祕密」，那麼真的會變壞嗎？

Answer 1

您在進行OAuth呼叫時需要唯一標識自己的簽名是與您的消費者密鑰簽署的HMAC-SHA1字符串。與任何域名無關。

您需要保持合理安全的唯一一件事是消費者機密。雖然我不太明白「匿名」的意思，但是...

Answer 2

OAuth for Web Apps和OAuth安裝的應用程序（例如「匿名」/「匿名」作爲您的使用者密鑰/祕密）之間的主要區別是， ，是審批頁面。

對於已安裝的應用程序，Google無法驗證 應用程序的身份，因此用戶會向用戶顯示一個黃色警告框。

對於web應用程序，有一個實際的URL（應用程序），可以被驗證。因此，不會向用戶呈現難看的警告框。