Un file client_secret.json
viene utilizzato nel flusso di autorizzazione OAuth 2.0 per l'API di Google Drive ( esempio ).
Se includo client_secret.json
nella mia applicazione Java, accedere ai contenuti JAR è estremamente facile. Quindi, dovrei preoccuparmi? Non ho modo di rendere questo file "segreto".
Che errore si può fare con queste informazioni? Un utente finale deve concedere l'accesso alla mia applicazione per poter accedere ai suoi file di Google Drive.
Aggiornamento: Sembra che due casi possano essere analizzati.
- Cosa si può fare solo con
client_secret.json
?
Questa era l'intenzione della mia prima domanda. L'unica cosa che posso pensare è che se un utente collega il suo account alla mia app, può esaurire la mia quota gratuita per l'API di Drive (1.000.000.000 di richieste al giorno).
- Qualcuno accede alle credenziali archiviate per un utente (file
StoredCredential
, nell'esempio) piùclient_secret.json
.
Immagino che questo sia il caso peggiore, dal momento che "qualcuno" può agire come la mia app nell'account utente.
Aggiornamento 2: Documenti Google possono essere trovati qui: Uso di OAuth 2.0 per applicazioni installate
The client ID and client secret obtained from the Developers Console are embedded in the source code of your application. In this context, the client secret is obviously not treated as a secret.