Лучший метод защиты секрета клиента для потока кода авторизации - PullRequest
1 голос
/ 25 марта 2020

Из того, что я понимаю, глядя на поток кода авторизации Spotify, требуется client_id и client_secret для отправки запроса на токен доступа и refre sh токен. Если владелец собирается распространять свой продукт, который использует Spotify API, не опасно ли делиться своим client_secret с публикой c?

Я также посмотрел на Implicit Grant Flow, и он не требует client_secret, однако он возвращает только один из двух токенов, который является токеном доступа. Не будет ли для пользователя хлопот постоянно проходить аутентификацию через страницу авторизации Spotify каждый раз, когда истекает срок действия его токена доступа?

В некоторых источниках говорится, что владелец может хранить свои секреты в файле .env и таким образом получать необходимую информацию!

По сути, я заблудился и не уверен, какой маршрут лучше не раскрывать. секрет клиента или предотвращение постоянной аутентификации пользователей. Заранее спасибо!

Spotify's Authorization Code Flow

...