我正在创建一个谷歌工作空间插件,需要使用OAuth进行一些请求。他们在这里提供了一个指南,解释如何这样做。在示例代码中,建议将OAuth客户端秘密内联:
function getOAuthService() {
return OAuth2.createService('SERVICE_NAME')
.setAuthorizationBaseUrl('SERVICE_AUTH_URL')
.setTokenUrl('SERVICE_AUTH_TOKEN_URL')
.setClientId('CLIENT_ID')
.setClientSecret('CLIENT_SECRET')
.setScope('SERVICE_SCOPE_REQUESTS')
.setCallbackFunction('authCallback')
.setCache(CacheService.getUserCache())
.setPropertyStore(PropertiesService.getUserProperties());
}
我这样做安全吗?
我不知道Google App Script是如何架构的,所以我不知道代码在哪里以及如何运行的细节。
很可能是安全的,因为脚本只有脚本所有者和工作空间管理员才能访问,如果它是用于Google工作空间(这可能是也可能不是一个问题)。
嗯,你可以通过使用容器来增加一些安全性,通过使用容器绑定脚本来使用谷歌电子表格,谷歌文档或任何其他允许用户交互的脚本。或者一个独立的脚本,但也利用其他方式连接到UI进行交互。在Google Apps脚本中管理API秘密的合适方法是什么?
否则,我认为您能做的唯一方法就是将密钥和秘密存储在User Properties中。在Google AppScript用户属性
中存储API密钥和秘密您还可以参考下面的链接,了解如何管理或添加一些安全性的更多一般信息:https://softwareengineering.stackexchange.com/questions/205606/strategy-for-keeping-secret-info-such-as-api-keys-out-of-source-control