Насколько безопасно я вхожу в таблицы Google с помощью yeroon.net/ggplot2?

Question

Я впечатлен тем, что видел yeroon.net / ggplot2 , который является веб-интерфейсом для пакета g от ggplot2 Хэдли Уикхема. Я хочу попробовать это на моих собственных данных. Меня очень радует то, что в качестве данных можно использовать данные, хранящиеся в собственной электронной таблице Google. Вы просто входите в свою учетную запись Google, чтобы yeroon.net/ggplot2 мог получить доступ к списку электронных таблиц. Я не решался сделать это. Если я войду на yeroon.net, передам ли я свое имя пользователя и пароль третьей стороне? С моей стороны было бы неразумно разглашать свой пароль Google третьим лицам, поскольку Google быстро становится моим хранилищем всего.

Как узнать, использует ли приложение Jeroon ClientLogin или OAuth ? Мое понимание очень простое и может быть неправильным, но, тем не менее, оно здесь. OAuth был бы лучше, так как он фактически не передает пароль на стороннее приложение.

Answer 1

Я создатель yeroon.net/ggplot2, кто-то указал мне на эту тему. Я попытаюсь объяснить, как в настоящее время работает система.

Приложение использует AuthSub аутентификация . В тот момент, когда вы входите в свою учетную запись Google, создается сеанс Google. В этом сеансе есть доступ только к документам Google и службам электронных таблиц Google, разрешение на которые вы дали на странице входа в систему Google, например, не. ваш почтовый ящик

После входа в систему вы получаете токен сеанса из Google: уникальный ключ, который принадлежит сеансу и может использоваться для отправки запросов на доступ к вашим данным Google. Токен сеанса хранится в вашем браузере в виде файла cookie, пока вы его не закроете. Каждый раз, когда вы отправляете запрос на серверы yeroon.net, этот токен добавляется в запрос.

Используя этот токен, серверы yeroon.net могут получить доступ к вашим данным Google, например, получить электронную таблицу. Токен не хранится на сервере, хотя я понимаю, что вы должны поверить мне на слово. Также невозможно узнать ваше имя пользователя или пароль из токена сеанса; он может использоваться только для извлечения данных, если сеанс живет.