適用於桌面客戶端的Gmail IMAP OAuth

Question

最近谷歌宣佈他們支持OAUth用於Gmail IMAP/SMTP。我瀏覽了他們的多個文檔，但我仍然對他們是否支持安裝的應用程序的OAuth感到困惑。

1. 在this documentation他們說：

注：雖然OAuth協議 支持桌面/安裝 應用程序使用的情況下，谷歌只 支持OAuth的Web應用程序的。

但他們也有一個文件OAuth for installed applications。

2. 當我看到他們所指向的OAuth specification，它說（第11.7節）：

在許多應用中，消費者 應用將是潛在的不受信任的第三方的控制下 。例如，如果消費者是免費的可用桌面應用程序，則攻擊者可能會下載 副本進行分析。在這種情況下，攻擊者將能夠恢復消費者用於向服務提供商認證 的消費者密鑰 。

此外，我認爲上述第1點的免責聲明約爲Google Data APIs，當然IMAP/SMTP不是其中的一部分。

我明白，安裝的應用程序，我可以有一個像設置：

1. 在說example.com有一個小的web應用程序爲我的應用程序。這個網絡應用與谷歌會談獲取訪問令牌。

2. 已安裝的應用程序僅與example.com通信以獲取訪問令牌。

3. 安裝的應用程序然後使用訪問令牌與Google進行對話。

我現在感到困惑。 這是唯一的方法嗎？ 另外，如果我通過桌面應用程序進行OAuth，我們必須將應用程序的消費者密鑰發送出去。那麼，我們不能保持消費者密鑰的保密性。

Answer 1

是的，Oauth支持已安裝的應用程序;請參閱Gmail IMAP and SMTP using OAuth文檔。

1. 文檔簡直是過時的（2008）
2. 這是有道理的，但只是對應用程序不訪問令牌存儲在一個安全的方式。

你設置好，雖然我不認爲有網絡的應用程序，與谷歌會談是強制性的;例如，您的用戶可以將「請求令牌」複製並粘貼到桌面客戶端應用程序。