저는 궁금합니다. client_secret을 Google/FaceBook/다른 OAuth 2.0 제공 업체의 '비밀'장소에 보관해야합니까? 멀리 볼 수있는 한, 매우 제한적인 콜백 URL을 지정하자마자 client-secret 매개 변수로 할 수있는 일은 거의 없습니다.OAuth 2.0 - 클라이언트 비밀이 "비밀"인가?
예를 들어 github/bitbucket/etc에 'secret'키를 넣어서 공개 라이브 웹 프로젝트의 저장소로 사용하는 것이 안전합니까?
내가 아는 한 client-secret는 google/facebook의 개발자 계정과 공통점이 없으므로 hjacking 또는 스푸핑에 사용할 수 없습니다.
내가 누락 된 항목이 있습니까? 감사!
조합 app_id | app_secret는 FB 앱용 앱 액세스 토큰으로 작동하므로 한 번 내가 할 수있는 모든 사항을 알게되면 앱이 허용 할 수있는 권한이 있습니다. 이유는 '비밀'이라고합니다. – CBroe
CBroe ok, 비밀 토큰으로 정확히 무엇을 할 수 있는지 말해주십시오. 이는 리디렉션 URL에 지정된 사용자 토큰에만 유용하며 변경할 수 없습니다. – jdevelop