我使用yeroon.net/ggplot2登录Google电子表格的安全性

Question

我对yeroon.net/ggplot2这是Hadley Wickham的R软件包ggplot2的Web界面所见的印象很深。我想根据自己的数据尝试一下。让我非常兴奋的部分是，可以使用存储在自己Google电子表格中的数据作为数据。只需登录他们的Google帐户，即可通过yeroon.net/ggplot2访问电子表格列表。我一直犹豫不决。如果我在yeroon.net上登录，我是否将我的用户名和密码交给第三方？因为谷歌正在迅速成为我的一切存储库，所以向我的第三方透露我的谷歌密码并不明智。

我怎么知道Jeroon的应用程序是否使用ClientLogin或OAuth？我的理解是非常基本的，可能是错误的，但在这里是这样。 OAuth会更好，因为它实际上并没有将密码传递给第三方应用程序。

Answer 1

我是yeroon.net/ggplot2的创建者，有人指点我这个话题。我将尝试解释系统目前的工作方式。

该应用使用的是AuthSub authentication。登录到Google帐户的那一刻，就会创建一个Google会话。此会话只能访问您在Google登录页面上获得许可的Google文档和Google电子表格服务，因此不能你的邮箱。

登录后，您可以从Google检索会话令牌：属于会话的唯一密钥，可用于发出请求以访问您的Google数据。会话令牌在您的浏览器上存储为cookie，直到您关闭它。每次向yeroon.net服务器发出请求时，都会将此令牌添加到请求中。

使用此令牌，yeroon.net服务器可以访问您的谷歌数据，例如，检索电子表格。令牌不存储在服务器上，虽然我明白你必须在此做出我的话。也不可能从会话令牌中找到你的用户名或密码;只要会话存在，它只能用于检索数据。