请记住,我是一个noob,而且是oauth2的新手。我想得到oauth2的感觉并玩弄它。为此,我使用offlineimap连接到我的Gmail帐户并检索电子邮件。如何以及为什么保护oauth2中的客户机密
让我复制我将用它来说明我的一般性问题
oauth2_client_id = clientId
oauth2_client_secret = clientSecretToken
oauth2_request_url = requestUrl
oauth2_refresh_token = refreshToken
type = IMAP
remotehost = imap.gmail.com
remoteuser = [email protected]
remotepass = mailpasswd('gmail')
据我了解CLIENT_ID用于识别我为我的一些配置文件:请求URL只是我连接点在谷歌网站上的外部应用程序。刷新令牌用于生成实际的访问令牌。
据我所知,客户端的秘密是应用程序和gmail之间的共享秘密,以说服gmail正确的应用程序正在请求某些访问。
问题如果我正确理解了这一点,刷新令牌和客户机密应该是“秘密”的。这是否意味着将这些信息放在这样的配置文件中是危险的?我们是否应该像密码一样加密它(例如用gpg)?
oauth2中对我来说不是100清楚的最后一点是:我是否正确理解我需要提供凭据(用户名/密码),因为oauth2基本上假定我已登录?
公平地说,oauth2在高层上所做的一切就是确保某个外部应用获得对我的Gmail的某种访问权限。这是为特定应用程序授予特定数据。但我仍然需要提供我的凭据才能登录到Gmail。
thx为anwser。两个简单的问题:那么你会只加密client_secret和refresh_token还是只加密client_secret?当然,我的意思是刷新令牌用于创建一个新的访问令牌,如果我正确地理解它。 – math
增加了更多的答案来处理您的问题 –
很酷,非常感谢扩展anwser! – math