1
作为安全最佳实践,当工程师/实习生离开团队时,我想重置我的Google API控制台项目的客户端密钥。重置客户端秘密OAuth2 - 客户端是否需要重新授予访问权限?
该项目拥有许多人授予的OAuth2访问权限,我需要确保这些(授予以及刷新令牌)不会停止工作。不幸的是,我一直无法找到明确说明这一点的文档。
A
回答
-1
是的。客户机密钥重置将立即(在Google OAuth 2.0中,可能会有几分钟的延迟)使发出给客户机的授权“代码”或刷新令牌无效。
客户机密重置是针对私人客户滥用泄露的客户机密的对策。因此,一旦秘密被重置,要求重新授予是有意义的。
我没有发现任何Google文档明确指出这一点。但我的实践证明,重置会影响用户,您也可以对其进行测试。
而在我们的工作中,我们的程序员不会触及产品的秘密,我们有测试客户。只有极少数产品经销商能够触及到这一点。所以我认为你需要尽力缩小团队秘密的知名度。休息不是一个好方法。
相关问题
- 1. 客户端ID和客户端访问foursquare API的秘密
- 2. 无客户端秘密的OAuth2工具
- 3. Laravel Oauth2客户端授权并重定向与Guzzle
- 4. OAuth2:JWT授权授权和客户端凭证授权与JWT客户端认证有什么区别?
- 5. 我是否需要重新注册客户端脚本?
- 6. OAuth2:如何生成客户端ID和客户端密钥?
- 7. box.com是否支持自主客户端或客户端凭据授权?
- 8. OAuth2:什么是“客户端”?
- 9. CXF客户端授权问题
- 10. 客户端重新连接
- 11. Swashbuckle OAuth2用户授权使用客户端凭证流
- 12. JAX-WS客户端:JAXB是否需要?
- 13. 权限与UNET客户端
- 14. Unity UNet客户端权限
- 15. Perforce客户端权限
- 16. 哪个OAuth2授予使用Javascript的B2B客户端类型?
- 17. 我是否需要用Javascript重写我的客户端库?
- 18. permission_denied at /:客户端没有访问所需数据的权限
- 19. 重新设置客户端上的webform
- 20. 为什么Google本地oauth2流程需要客户端密钥?
- 21. OAuth2本地应用程序 - 客户端秘密
- 22. 谷歌云存储 - 客户端秘密
- 23. 验证客户端ID和密钥OAuth2
- 24. 授予用户权限来访问表
- 25. OAuth2用户端编号和秘密
- 26. 微博登录:401客户端错误:需要授权
- 27. 需要Java websocket客户端
- 28. 我需要memcache客户端
- 29. 谷歌App Engine的:使用JavaScript客户端库的OAuth2授权
- 30. 授予用户访问权
如果这个答案在2014年是正确的,现在不再正确。我可以确认重置Google客户端密码不会使现有的客户端访问权限/刷新令牌无效。 – MarcF 2017-11-10 15:40:01