OAUTH2应用程序中的Google客户端秘密可以访问什么？

Question

我正在实施使用Google客户端ID和Google Client Secret的登录流。我正在考虑Google Client Secret的安全含义，谁应该能够访问它。

当前，客户秘密存储在环境变量中，但是我想知道有什么可以访问此秘密的人可以使用它来确定哪些开发人员应该可以访问此环境变量，并且我是否应该在开发中设置其他OAUTH2应用程序与生产。

Answer 1

这取决于您指定的OAUTH应用程序类型。
创建OAuth客户端ID时

• 在Google Cloud中 秘密应该确实是秘密的，因为它被Google视为这样，并用于验证自己的服务器。因此，您应该将其隐藏，尤其是将其包含在开源代码中。

• 但是，还可以选择创建桌面应用程序，这意味着您想在没有自己的服务器的情况下使用OAuth。对于这种情况，Google的文档 say ：：

  该过程会导致客户端ID，在某些情况下是客户端
  秘密，您将其嵌入应用程序的源代码。 （在
  在这种情况下，客户秘密显然不是被视为秘密。）

因此，在这种情况下，将客户秘密包含在您的应用程序中的用户是可以的。

Answer 2

客户端ID和客户端秘密类似于登录和密码。他们使您的应用程序能够请求用户访问其数据的能力。如果您要存储刷新令牌，它也将使用户可以从刷新令牌中创建访问令牌。

Google TOS指出

要求开发人员做出合理的努力，以保持其私钥私密而不将其嵌入开源项目中。

您不应该与任何人分享。您和您的开发人员只能使用它。

是的，理想情况下，您应该拥有测试和生产客户ID。您的开发人员可以使用测试客户ID，唯一应该使用您的生产验证的项目客户ID是您的生产环境。我将它们存储在某些人中，以便个人分泌商店。