Паспорт Js извлекает данные с любым clientID и clientSecret

Question

Стратегия Google Plus Token:

passport.use('googleToken', new GooglePlusTokenStrategy({
  clientID: 'adf',
  clientSecret: 'asdf'
}, (accessToken, refreshToken, profile, done) => {
  console.log(accessToken);
  console.log(profile);
  return done(false, profile)
}));

Я передаю access_token в виде строки запроса со стороны android клиента.

The accessToken и profile был успешно получен с любым cliendId и clientSecret! Так какова цель использования этих ключей?

И, кстати, cliendID требуется только для Android google plus аутентификации, но clientSecret требуется и для серверной части (Nodejs)! но этот clientSecret не создается консолью google для android учетных данных

Answer 1

Идентификатор клиента и secrete используются для аутентификации (чтобы убедиться, что вы тот, о ком вы говорили), а токены - для авторизации (чтобы увидеть, к каким ресурсам вы имеете право доступа).

acessToken используются для вызова любых служб, которые вы включили в область действия при выполнении запроса (Gmail, карта Google или API YouTube). accessToken являются недолговечными, поэтому после истечения срока их действия вы можете использовать refreshToken для повторного запроса accessToken.

Однако, возможно, вам вообще не придется их использовать, если вы просто аутентифицируете пользователя через oAuth.

Обязательно храните их в безопасном месте и нигде не протекайте.