Se utiliza un archivo client_secret.json
en el flujo de autorización OAuth 2.0 para la API de Google Drive ( ejemplo ).
Si incluyo client_secret.json
en mi aplicación Java, acceder a los contenidos JAR es extremadamente fácil. Entonces, ¿debería preocuparme? No tengo forma de hacer este archivo "secreto".
¿Qué error se puede hacer con esta información? Un usuario final debe otorgar acceso a mi aplicación para acceder a sus archivos de Google Drive.
Actualización: Parece que se pueden analizar dos casos.
- ¿Qué se puede hacer solo con
client_secret.json
?
Esta fue la intención de mi primera pregunta. Lo único en lo que puedo pensar es que si un usuario vincula su cuenta a mi aplicación puede agotar mi cuota de Free para la API de Drive (1,000,000,000 de solicitudes por día).
- Alguien accede a las credenciales almacenadas para un usuario (archivo
StoredCredential
, en el ejemplo) másclient_secret.json
.
Supongo que este es el peor de los casos, ya que "alguien" puede actuar como mi aplicación en la cuenta de usuario.
Actualización 2: Google docs se puede encontrar aquí: Uso de OAuth 2.0 para aplicaciones instaladas
El ID de cliente y el secreto de cliente obtenidos de la Consola de Desarrolladores están integrados en el código fuente de su aplicación. En este contexto, el secreto del cliente obviamente no se trata como un secreto .