所以我无法理解的东西...谷歌的OAuth用于安装的应用程序与OAuth验证Web应用程序
如果您对Web应用程序做的Oauth,你有一个回调的网址注册您的网站,并获得一个独特的消费密钥。但是,一旦您获得了Web应用程序令牌的Oauth,您就不必从注册的域中向您的谷歌服务器生成Oauth调用。我经常在我的笔记本电脑上通过本地主机上的apache服务器运行的脚本中使用我的密钥和令牌,并且Google从不会说“您不是从注册的域发送此请求”。它只是给我发送数据。
现在,据我了解,如果您为安装的应用程序执行Oauth,则使用“匿名”而不是您从Google获得的密钥。
我一直在考虑将OAuth用于Web Apps auth方法,然后将该令牌传递给已将其密码嵌入其内部的已安装的应用程序。担心的是代码可能被坏人发现。但更安全的是......让他们为秘密代码工作或让他们默认为匿名?
如果在另一个选择是使用“匿名”作为秘密时发现“秘密”,那么真的会变坏吗?