V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  信息安全

Google Drive 和 OneDrive 的 OAuth 目前都有提供只使用 Client ID,不涉及 Client Secret 的版本,也可以访问网盘数据,为什么 Duplicati 依旧要求通过第三方网站进行授权?

  •  
  •   drymonfidelia · 10 天前 · 634 次点击
    <https://docs.duplicati.com/en/latest/05-storage-providers/#google-drive>

    按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
    3 条回复    2024-10-31 10:45:55 +08:00
    dzdh
        1
    dzdh  
       10 天前
    有没有可能是懒得改
    drymonfidelia
        2
    drymonfidelia  
    OP
       10 天前
    @dzdh OAuth 的这个功能已经存在非常久了,这款软件面向的是想要客户端侧加密的、重视安全的用户,知道自己的高权限 token 被保存在第三方那里应该会非常不放心吧
    dzdh
        3
    dzdh  
       10 天前
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2713 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 09:43 · PVG 17:43 · LAX 01:43 · JFK 04:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.