Нужно ли нам скрывать идентификатор клиента google oauth?

Question

все. Недавно я изучил аутентификацию OAuth. Я играю с oauth api в Google. В учебнике для Google Sign-In for server-side apps на третьем шаге - Инициализируйте объект GoogleAuth, вам нужно предоставить идентификатор клиента для инициализации объекта GoogleAuth. Мне просто интересно, нужно ли хранить секретный ключ клиента, потому что сейчас каждый может узнать, что представляет собой идентификатор клиента, просматривая javascript.

Answer 1

Вам не нужно скрывать идентификатор клиента при условии, что вы ограничили доступ к определенным исходным кодам JavaScript и перенаправили URI на стороне сервера. См. Более подробную информацию о this Quora thread или this IETF thread.