Google API可以在每个用户和每个应用程序的基础上具有使用限制。例如,GMail API free tier在应用程序的所有用户中限制为每天十亿个配额单位。
这适用于设计良好的服务器端应用程序,可以集中确保它们遵守这些使用限制。但是,我不确定这应该如何适用于客户端应用程序。正如Google’s documentation所说,
已安装的应用程序将分发到各个设备,并假设这些应用程序无法保密。
这些应用程序仍然应该使用client_secret和凭据,但这些应用程序被假定为不保密,尽管名称。但是,只是说它们不是秘密并不能防止滥用;应用程序的用户可以获取凭证文件并将其用于其他目的,可能是更多使用API的目的。应用程序开发人员可以做些什么来阻止人们通过所有可用配额进行刻录?
编辑以澄清:
提示这是一个纯粹的桌面应用程序,它不能连接到除GMail之外的任何服务(请参阅https://github.com/mbrt/gmailctl/issues/48)。如果它不适用于该应用的所有用户的全局配额,则没有理由担心个人用户;它们不会连接到除GMail本身之外的任何服务。
您可以编写一个服务器应用程序(云功能可以工作),其中包含秘密。客户端使用某种形式的标识符调用您的端点,并返回访问令牌。如果您的用户拥有浏览器,则每次都可以进行身份验证;如果不是,您需要请求存储的刷新令牌并使用它来生成AT。