Google Drive 和 OneDrive 的 OAuth 目前都有提供只使用 Client ID,不涉及 Client Secret 的版本,也可以访问网盘数据,为什么 Duplicati 依旧要求通过第三方网站进行授权?
drymonfidelia · 1 天前 · 349 次点击<https://docs.duplicati.com/en/latest/05-storage-providers/#google-drive>
按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
3 条回复 • 2024-10-31 10:45:55 +08:00
 |
1
dzdh 1 天前
有没有可能是懒得改
|
 |
2
drymonfidelia OP @dzdh OAuth 的这个功能已经存在非常久了,这款软件面向的是想要客户端侧加密的、重视安全的用户,知道自己的高权限 token 被保存在第三方那里应该会非常不放心吧
|
|
3
dzdh 1 天前
|
Select Language