Googleログイン/ 0auth/Security

Question

私は google's 0auth sign in API を私のウェブサイトで使用しました。 これには、WebサイトURLを許可されたJavaScriptの起源として指定したプロジェクトとクライアントIDを設定する必要があります。私のウェブサイト上で有効にするに 、クライアントIDは、メタタグに含まれています：

<meta name="google-signin-client_id" content="YOUR_CLIENT_ID.apps.googleusercontent.com"> 

私の理解では、私は自分のドメイン上のWebページで、この看板を統合することができます - クライアントIDが独自に無用です。

このサービスを使用する場合、セキュリティ上の考慮事項は何か問題がありますか？私はclientIDをマスクすることを検討して、私のウェブサイトのソースに表示されないようにする必要があります（私はまだそれをどうやって行うのかわかりません）？

Answer 1

私はクライアントIDがセキュリティ上の意味を持っているとは思わないので、それを保護しようとする必要はありません。

場合によっては、保護が必要なクライアントの資格情報があります。しかし、JavaScriptクライアントを使用している場合は、（クライアントがそれを保護できないため）これらの資格情報を使用しない暗黙的な認可タイプを使用している可能性が高くなります。

Oauth脅威モデルにはsection on client identifierがあります。ご覧のように、彼らは識別子を何らかの形で保護する必要性を指定していません。これは、あなたがそれを保護するために過激なスタントを試みる必要がないというかなり良い保証を与えます。

にアプリを登録した後、あなたはクライアントIDとクライアントシークレットを受け取ります：

はさらに証拠のために、彼は書き込み Aaron Parecki's Oauth Simplifiedを、お読みください。クライアントIDは公開情報とみなされ、ログインURLの作成に使用されるか、ページ上のJavascriptソースコードに含まれます。