最近谷歌宣佈他們支持OAUth用於Gmail IMAP/SMTP。我瀏覽了他們的多個文檔,但我仍然對他們是否支持安裝的應用程序的OAuth感到困惑。適用於桌面客戶端的Gmail IMAP OAuth
1. 在this documentation他們說:
注:雖然OAuth協議 支持桌面/安裝 應用程序使用的情況下,谷歌只 支持OAuth的Web應用程序的。
但他們也有一個文件OAuth for installed applications。
2. 當我看到他們所指向的OAuth specification,它說(第11.7節):
在許多應用中,消費者 應用將是潛在的不受信任的第三方的控制下 。例如,如果消費者是免費的可用桌面應用程序,則攻擊者可能會下載 副本進行分析。在這種情況下,攻擊者將能夠恢復消費者用於向服務提供商認證 的消費者密鑰 。
此外,我認爲上述第1點的免責聲明約爲Google Data APIs,當然IMAP/SMTP不是其中的一部分。
我明白,安裝的應用程序,我可以有一個像設置:
在說example.com有一個小的web應用程序爲我的應用程序。這個網絡應用與谷歌會談獲取訪問令牌。
已安裝的應用程序僅與example.com通信以獲取訪問令牌。
安裝的應用程序然後使用訪問令牌與Google進行對話。
我現在感到困惑。 這是唯一的方法嗎? 另外,如果我通過桌面應用程序進行OAuth,我們必須將應用程序的消費者密鑰發送出去。那麼,我們不能保持消費者密鑰的保密性。
仍然桌面客戶端應與消費者密碼一起發貨。不是嗎? – Sabya 2010-04-19 10:33:19
你是什麼意思? – systempuntoout 2010-04-19 10:57:38
澄清問題。 – Sabya 2010-04-20 05:31:09