क्यों Google मूल oauth2 प्रवाह क्लाइंट रहस्य की आवश्यकता है?

Question

फेसबुक oauth2 दस्तावेज़ों के अनुसार, क्लाइंट साइड फ्लो को क्लाइंट गुप्त पैराम की आवश्यकता नहीं है। क्लाइंट साइड फ्लो का इस्तेमाल मूल और मोबाइल दोनों वेब ऐप्स पर किया जा सकता है।

हालांकि Google के मूल oauth2 प्रवाह के लिए क्लाइंट गुप्त http://code.google.com/apis/accounts/docs/OAuth2.html#IA की आवश्यकता होती है।

इस मामले में रिवर्स इंजीनियरिंग उपकरण का उपयोग कर हैकर द्वारा ग्राहक रहस्य चोरी किया जा सकता है।

क्या कोई स्पष्ट कर सकता है कि ऐसा क्यों किया गया था?

Answer 1

गूगलर की एक पोस्ट के मुताबिक, मुख्य कारण यह है कि वे सर्वर-साइड ऐप्स और मूल ऐप्स के लिए समान पुस्तकालयों का उपयोग करते हैं। ऐसा लगता है कि वे क्लाइंट_सेक्रेट को एक मूल ऐप के संदर्भ में संवेदनशील होने पर विचार नहीं करते हैं, लेकिन वे अंततः इंस्टॉल किए गए ऐप प्रवाह के लिए इसे चरणबद्ध करने की योजना बनाते हैं।

https://groups.google.com/group/oauth2-dev/browse_thread/thread/1e714924ebcc7e60/edfaaad5830ff2e8 से

:

हम उन रहस्यों को गुप्त-तो रहने तक हम उन्हें ज्यादातर शामिल कर रहे हैं तो यह आज पुस्तकालयों के साथ उपयोग करने के लिए, और उन्हें कुछ बिंदु पर की आवश्यकता होती है रोकने की उम्मीद सुविधाजनक है की उम्मीद नहीं करते भविष्य में।

हालांकि यह बुरा लगता है, ध्यान रखें कि दुर्भावनापूर्ण उपयोगकर्ताओं को आपके मोबाइल/डेस्कटॉप ऐप के संदर्भ में अनुरोधों को फोर्ज करने से रोकने का इरादा कभी नहीं था।

यदि आप क्लाइंट_सेक्रेट को उजागर करने के बारे में चिंतित हैं, तो यहां वर्णित क्लाइंट-साइड प्रवाह भी है: http://code.google.com/apis/accounts/docs/OAuth2.html#CS जहां तक ​​मैं कह सकता हूं, क्लाइंट-साइड फ्लो को क्लाइंट_सेक्रेट की आवश्यकता नहीं है और डेस्कटॉप से ​​ठीक काम करेगा या मोबाइल एप्लिकेशन।

-Chris