Я использую OAuth 2.0 в Electron
для использования API календаря Google и понимаю, что требуется client_secret
.OAuth 2.0 клиентский секрет для Electron
Поиск вокруг я вижу два варианта:
- жесткого кодирования/упаковки секрет внутри электронного приложения. Тем не менее, поскольку
Electron
Приложения действительно имеют исходный код, доступный в скомпилированном приложении, секрет все еще можно извлечь. - Использование прокси-сервера (возможно, размещенного мной) для получения самого URL-адреса OAuth и передачи его клиенту. Однако это, похоже, просто переместит проблему где-то еще, поскольку теперь я должен обеспечить проблемы безопасности, возникающие из-за проверки подлинности пользователя с помощью моего прокси-сервера.
Каковы наилучшие практики для этого на данный момент? Если возможно, я хочу, чтобы пользователь не прошел через процесс получения своего собственного client_secret