谷歌的OAuth用于安装的应用程序与OAuth验证Web应用程序

Question

所以我无法理解的东西...

如果您对Web应用程序做的Oauth，你有一个回调的网址注册您的网站，并获得一个独特的消费密钥。但是，一旦您获得了Web应用程序令牌的Oauth，您就不必从注册的域中向您的谷歌服务器生成Oauth调用。我经常在我的笔记本电脑上通过本地主机上的apache服务器运行的脚本中使用我的密钥和令牌，并且Google从不会说“您不是从注册的域发送此请求”。它只是给我发送数据。

现在，据我了解，如果您为安装的应用程序执行Oauth，则使用“匿名”而不是您从Google获得的密钥。

我一直在考虑将OAuth用于Web Apps auth方法，然后将该令牌传递给已将其密码嵌入其内部的已安装的应用程序。担心的是代码可能被坏人发现。但更安全的是......让他们为秘密代码工作或让他们默认为匿名？

如果在另一个选择是使用“匿名”作为秘密时发现“秘密”，那么真的会变坏吗？

Answer 1

您在进行OAuth呼叫时需要唯一标识自己的签名是与您的消费者密钥签署的HMAC-SHA1字符串。与任何域名无关。

您需要保持合理安全的唯一一件事是消费者机密。虽然我不太明白“匿名”的意思，但是...

Answer 2

OAuth for Web Apps和OAuth安装的应用程序（例如“匿名”/“匿名”作为您的使用者密钥/秘密）之间的主要区别是， ，是审批页面。

对于已安装的应用程序，Google无法验证 应用程序的身份，因此用户会向用户显示一个黄色警告框。

对于web应用程序，有一个实际的URL（应用程序），可以被验证。因此，不会向用户呈现难看的警告框。