LINUX.ORG.RU
ФорумDevelopment

Секретен ли Client secret?

 , , ,


1

2

Доброй ночи, ЛОР.

Слегка подразобравшись с кутешным модулем QtNetworkAuth, мне удалось авторизоваться в Google и заставить работать Contacts API. Правда, пришлось обойти несколько граблей как в Qt (модуль добавили в Qt 5.8, а в 5.10 уже успели поломать), так и с самим Google (контакты возвращаются в собственном велосипедном формате на основе XML, не vCard и даже не xCard). Но это всё не самое интересное.

Когда я регистрирую приложение в гугле, мне выдаётся несколько параметров для OAuth2, в т.ч. так называемый Client secret. Вопросы:

  • должен ли я хранить этот самый Client secret в тайне, на что намекает его название, или без доступа к моему аккаунту никакого ущерба для безопасности это не несёт?
  • если да, то как я в принципе могу это сделать в программе, распространяемой по лицензии GPL?

В некоторых источниках проскальзывает мысль, что секрета может и не быть, а в RFC 6749 вообще написано: «The client MAY omit the parameter if the client secret is an empty string». Вот только в панели управления гугла я не нашёл, как мне сгенерировать учётные данные приложения с пустым секретом...

★★★★★

Последнее исправление: CYB3R (всего исправлений: 1)
Android разработка без android studio.
Посоветуйте IDE + билиотеки под STM32 на C/C++
1 2
Ответ на: комментарий от anonymous

ну, elinks приёмлемый вариант. в нём нет скриптов. он запускается в консоли. по сути, это просто клиент http и парсер html. и он не жрёт гигабайты памяти. я имею в виду те жирные безобразные браузеры, в какие сейчас превратилась мозилла и прочие подобные. и весь этот уё-щный вебдезигн. про проприетарщину я даже не говорю, она сразу отметается по причине непригодности. ещё я тут на днях в первый раз увидела, что сайт предложил включить DRM. так что вот ещё одно зло, которое надо искоренять. веб идёт в направлении какого-то апокалипсиса. я туда идти не собираюсь.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 3)
Ответ на: комментарий от Iron_Bug

а лор прекрасно читается в elinks
и комментировать там можно без проблем

Ага, только уже больше месяца как на ЛОРе нельзя ни зарегистрироваться, ни написать чего без регистрации не просто без запуска принудительно загружаемых и обновляемых программ в браузере, а без исполнения *несвободных* программ.

А именно — Гуглокапчи.

Zmicier ★★★★★
()
Ответ на: комментарий от Iron_Bug

А как быть тому, кто ещё не зарегистрировался? Он ведь и регистрацию без капчи пройти не сможет?

hobbit ★★★★★
() автор топика
Ответ на: комментарий от hobbit

это плохо. ну, тогда надо как-то эту капчу в консоль тащить. там скрипт, скорее всего, тупо тащит картинку с сервера. но я в эту сторону никогда не копала.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anonymous

значит, надо из самого форума это убирать нахрен. есть стопицот методов отсечь ботов без всякой капчи.

Iron_Bug ★★★★★
()
Ответ на: комментарий от anonymous

Если бы картинку, там фашисткие витрины и светофоры теперь уже

Они там давно, но если раньше они вполне поддавались решению , то сейчас благоразумный человек, какой не исполняет у себя все, что бы к нему ни прилетало из Сети, — он вообще ничего (ни капчи, ни ошибки) не увидит.

Zmicier ★★★★★
()

модуль QtNetworkAuth добавили в Qt 5.8, а в 5.10 уже успели поломать

С этим разобрался. Как выяснилось, путь (path) для callback-запроса класса QOAuthHttpServerReplyHandler в Qt 5.8 всегда имел фиксированное значение «cb». В более новых версиях его можно задавать явно, но по умолчанию он пустой. (~~) Соответственно, чтобы работало в 5.8 - 5.10, пишем: 

#if QT_VERSION >= 0x050900
    replyHandler->setCallbackPath("cb");
#endif
и радуемся жизни.

Основной вопрос темы пока в процессе решения...

hobbit ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Android разработка без android studio.
Development
Посоветуйте IDE + билиотеки под STM32 на C/C++