为什么 Google 原生 oauth2 流程需要客户端密钥？

Question

根据 facebook oauth2 文档，客户端流程不需要客户端秘密参数。客户端流程可用于本机和移动 Web 应用程序。

但是，Google 的本机 oauth2 流程需要客户端密钥 http://code.google.com /apis/accounts/docs/OAuth2.html#IA。

在这种情况下，黑客可以使用逆向工程工具窃取客户端机密。

有人可以澄清为什么这样做吗？

Answer 1

根据一位 Google 员工的帖子，主要原因是他们对服务器端应用程序和本机应用程序使用相同的库。听起来他们不认为 client_secret 在本机应用程序的上下文中敏感，但他们计划最终在已安装的应用程序流程中逐步淘汰它。

来自 https://groups.google.com/group/oauth2-dev/browse_thread/thread /1e714924ebcc7e60/edfaaad5830ff2e8：

我们不希望这些秘密保持秘密 - 到目前为止，我们主要将它们包括在内，以便今天可以方便地与库一起使用，并期望在将来的某个时候不再需要它们。

虽然这听起来可能很糟糕，但请记住，OAuth 从来都不是为了阻止恶意用户在您的移动/桌面应用程序的上下文中伪造请求。

如果您担心泄露 client_secret，这里还介绍了客户端流程：http: //code.google.com/apis/accounts/docs/OAuth2.html#CS 据我所知，客户端流程不需要 client_secret，并且可以在桌面或移动应用程序中正常工作。

-克里斯