Google Drive 和 OneDrive 的 OAuth 目前都有提供只使用 Client ID,不涉及 Client Secret 的版本,也可以访问网盘数据,为什么 Duplicati 依旧要求通过第三方网站进行授权?

1 天前
 drymonfidelia
<https://docs.duplicati.com/en/latest/05-storage-providers/#google-drive>

按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
354 次点击
所在节点    信息安全
3 条回复
dzdh
1 天前
有没有可能是懒得改
drymonfidelia
1 天前
@dzdh OAuth 的这个功能已经存在非常久了,这款软件面向的是想要客户端侧加密的、重视安全的用户,知道自己的高权限 token 被保存在第三方那里应该会非常不放心吧
dzdh
1 天前
@drymonfidelia #2 hello@duplicati.com

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1085171

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX