1
作为安全最佳实践,当工程师/实习生离开团队时,我想重置我的Google API控制台项目的客户端密钥。重置客户端秘密OAuth2 - 客户端是否需要重新授予访问权限?
该项目拥有许多人授予的OAuth2访问权限,我需要确保这些(授予以及刷新令牌)不会停止工作。不幸的是,我一直无法找到明确说明这一点的文档。
作为安全最佳实践,当工程师/实习生离开团队时,我想重置我的Google API控制台项目的客户端密钥。重置客户端秘密OAuth2 - 客户端是否需要重新授予访问权限?
该项目拥有许多人授予的OAuth2访问权限,我需要确保这些(授予以及刷新令牌)不会停止工作。不幸的是,我一直无法找到明确说明这一点的文档。
是的。客户机密钥重置将立即(在Google OAuth 2.0中,可能会有几分钟的延迟)使发出给客户机的授权“代码”或刷新令牌无效。
客户机密重置是针对私人客户滥用泄露的客户机密的对策。因此,一旦秘密被重置,要求重新授予是有意义的。
我没有发现任何Google文档明确指出这一点。但我的实践证明,重置会影响用户,您也可以对其进行测试。
而在我们的工作中,我们的程序员不会触及产品的秘密,我们有测试客户。只有极少数产品经销商能够触及到这一点。所以我认为你需要尽力缩小团队秘密的知名度。休息不是一个好方法。
如果这个答案在2014年是正确的,现在不再正确。我可以确认重置Google客户端密码不会使现有的客户端访问权限/刷新令牌无效。 – MarcF 2017-11-10 15:40:01