गूगलर की एक पोस्ट के मुताबिक, मुख्य कारण यह है कि वे सर्वर-साइड ऐप्स और मूल ऐप्स के लिए समान पुस्तकालयों का उपयोग करते हैं। ऐसा लगता है कि वे क्लाइंट_सेक्रेट को एक मूल ऐप के संदर्भ में संवेदनशील होने पर विचार नहीं करते हैं, लेकिन वे अंततः इंस्टॉल किए गए ऐप प्रवाह के लिए इसे चरणबद्ध करने की योजना बनाते हैं।
https://groups.google.com/group/oauth2-dev/browse_thread/thread/1e714924ebcc7e60/edfaaad5830ff2e8 से
:
हम उन रहस्यों को गुप्त-तो रहने तक हम उन्हें ज्यादातर शामिल कर रहे हैं तो यह आज पुस्तकालयों के साथ उपयोग करने के लिए, और उन्हें कुछ बिंदु पर की आवश्यकता होती है रोकने की उम्मीद सुविधाजनक है की उम्मीद नहीं करते भविष्य में।
हालांकि यह बुरा लगता है, ध्यान रखें कि दुर्भावनापूर्ण उपयोगकर्ताओं को आपके मोबाइल/डेस्कटॉप ऐप के संदर्भ में अनुरोधों को फोर्ज करने से रोकने का इरादा कभी नहीं था।
यदि आप क्लाइंट_सेक्रेट को उजागर करने के बारे में चिंतित हैं, तो यहां वर्णित क्लाइंट-साइड प्रवाह भी है: http://code.google.com/apis/accounts/docs/OAuth2.html#CS जहां तक मैं कह सकता हूं, क्लाइंट-साइड फ्लो को क्लाइंट_सेक्रेट की आवश्यकता नहीं है और डेस्कटॉप से ठीक काम करेगा या मोबाइल एप्लिकेशन।
-Chris
स्रोत
2011-09-19 20:11:25