Home Articles

移动应用程序中OAuth的客户端秘密

Asked
Viewed 374 times
1

Slack API文档似乎存在不一致,因为OAuth流需要提供client_secret作为OAuth令牌代码交换的一部分,如https://api.slack.com/methods/oauth.access所述 .

然而,客户端秘密需要嵌入到移动应用程序中,这违反了Slack在https://api.slack.com/docs/oauth-safety的建议,其中指出:

您的客户秘密应该得到精细处理 . 在与Slack交换令牌时,您可以安全地识别应用程序的权限和身份 . 不要在电子邮件,分布式本机应用程序,客户端javascript或公共代码存储库中分发客户端机密 .

在如何管理这种差异方面是否存在可用的最佳实践,其中auth需要客户机密码,但同时不应嵌入到移动应用程序中?

1 Answer

  • 1

    Slack仅支持OAuth2.0的Authorisation Code Flow,但它不支持 public 仅客户端 confidential 客户端 . 它也不支持PKCE flow .

    如果您正在开发移动应用程序,他们的FAQ page建议使用RTM API:

    enter image description here

Related