Slack API文档似乎存在不一致,因为OAuth流需要提供client_secret作为OAuth令牌代码交换的一部分,如https://api.slack.com/methods/oauth.access所述 .
然而,客户端秘密需要嵌入到移动应用程序中,这违反了Slack在https://api.slack.com/docs/oauth-safety的建议,其中指出:
您的客户秘密应该得到精细处理 . 在与Slack交换令牌时,您可以安全地识别应用程序的权限和身份 . 不要在电子邮件,分布式本机应用程序,客户端javascript或公共代码存储库中分发客户端机密 .
在如何管理这种差异方面是否存在可用的最佳实践,其中auth需要客户机密码,但同时不应嵌入到移动应用程序中?
1 回答
Slack仅支持OAuth2.0的Authorisation Code Flow,但它不支持
public仅客户端confidential客户端 . 它也不支持PKCE flow .如果您正在开发移动应用程序,他们的FAQ page建议使用RTM API: