将 client_id 和 client_secret 存储在 Github OAuth 登录所需的 flutter 移动应用程序上是否是一个好习惯?

问题描述 投票:0回答:1

我正在开发一个 Flutter 应用程序以及一个向应用程序提供数据的 API。对于我的登录,我使用了 Github 的 OAuth 应用程序

我遵循的流程是:

  1. 启动 Chrome 自定义选项卡供用户登录。
  2. 等待 GitHub 使用 深层链接
    3. 进行重定向
  3. 获取授权码后,向 GitHub 的 API 发出 
    POST
    请求

我的问题是,在我的 Flutter 应用程序中存储 

client_id
client_secret
是一个好的做法吗?或者我应该将 PCKE 逻辑迁移到我的 API,这样应用程序就不会存储任何 client_id client_secret,而只是使用 auth_code 向我的 API 发出请求并等待令牌返回?

提前致谢!

flutter github oauth
1个回答
0
投票

访问令牌是否无限期有效(直到被撤销,并且需要重新登录)?

如果是这样,听起来这是一个非常罕见的过程,这意味着几乎没有使用存储的 client_idclient_secret。因此,即使您可以安全地做到这一点,也没有理由这样做。它甚至可以为您节省一些实施时间,以保持简单和本地化。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.