Безопасно ли выставлять Okta clientId в публичном хранилище?

Question

Чтобы настроить Okta аутентификацию в приложении Angular, необходимо добавить переменную config с настройками для приложения OIDC в файле app.module.ts. source

const config = {
    issuer: 'https://dev-123456.oktapreview.com/oauth2/default',
    redirectUri: 'http://localhost:4200/implicit/callback',
    clientId: '{clientId}'
};

Где {clientId} заменяется фактическим clientId.

Перенос этого приложения в общедоступный репозиторий будет означать, что clientIdвыставлено на всеобщее обозрение.У меня вопрос: не создает ли это какой-либо риск для безопасности?

В своем исследовании я обнаружил пару похожих вопросов относительно apiKey, используемого Firebase:

• Безопасно ли показывать Firebase apiKey публично?
• Вам нужно скрыть ключи Firebase API для приложений Ionic?

Inв случае с Firebase нет ничего плохого в том, чтобы делиться apiKey.Но я не уверен, что clientId Okta использует аналогичный принцип?

Я также исследовал некоторые публичные репозитории на Github, которые реализуют аутентификацию Okta.Большинство из этих репозиториев, похоже, выставляют clientId, что заставляет меня предположить, что нет проблем с разделением clientId.Это действительно так?

Answer 1

Не должно быть никаких проблем с безопасностью при размещении вашего идентификатора клиента в репозитории GitHub.Это значение похоже на номерной знак на автомобиле.Это просто идентификатор и регулярно передается в URL для запросов авторизации.

Секрет клиента - это значение, которое вы не хотите раскрывать.Он НЕ должен храниться в системе контроля версий.Я рекомендую хранить фиктивное значение и переопределять его переменной среды.