API di Google Data Integration - Quali autenticazione modello?
https://stackoverflow.com/questions/4432999
-
09-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono nella lavorazione di sviluppare un'applicazione web che integrerà direttamente con un calendario di Google associato a uno specifico account Google. L'account a cui si accede dalle API Google Data non è destinata a cambiare, quindi sono sicuro che cosa il metodo di autenticazione conto più appropriato sarà.
Ho rivisto le opzioni avilable e sembrerebbe che AuthSub e OAuth sono inadeguato come ho non sarà l'accesso agli utenti nella loro propria Account- solo la visualizzazione e l'aggiornamento di un conto fisso. Le altre opzioni disponibili sono ClientLogin e l'autenticazione gadget . Di tutti loro, ClientLogin sembra la soluzione migliore, ma la documentazione afferma che esso è destinato ad applicazioni installate. Mentre l'applicazione web che sto sviluppando non è specificamente un'applicazione installata, specchi da vicino uno in questo scenario- è per questo che penso che ClientLogin rende più senso.
Quale opzione di autenticazione di Google sarebbe la soluzione migliore in questo scenario?
Soluzione
Dopo aver letto http://code.google.com/apis/ GData / docs / auth / overview.html mi sembra che OAuth è il modo più sicuro per raggiungere i tuoi obiettivi. Google consiglia di OAuth o AuthSub sopra ClientLogin per applicazioni Web. Inoltre utilizzando OAuth e AuthSub impedisce l'applicazione da sempre avere il controllo delle e-mail degli utenti e la password che significa che non avete bisogno di prendere le misure supplementari per proteggere e aggiornare le informazioni. Tra OAuth e AuthSub, OAuth è più universalmente adottata, e più sicura a causa del fatto che le richieste sono firmati. Speranza che aiuta.
Modifica Così ho capito male esattamente ciò che la vostra applicazione stava facendo, se si utilizza solo il tuo account Google qualsiasi metodo di autenticazione è probabilmente bene, che ha detto che Google consiglia di OAuth o AuthSub per le applicazioni web. Tuttavia la cosa importante per scoprire OAuth e AuthSub è ciò che è la vita del token. Se non v'è alcun modo per rendere l'ultimo token per un lungo periodo di tempo (mesi, anni) poi vorrei provare ad utilizzare ClientLogin, perché allora la vostra applicazione sarà sempre in grado di accedere al conto. Come nota a margine tuttavia per sicurezza vi consiglio di NON utilizzare il tuo account Google principale per l'applicazione invece creare un secondo account e semplicemente condividere il calendario con il tuo account principale, in questo modo se l'applicazione è stato compromesso non sarebbe perdere il vostro account Google primario .
