我正在浏览 GitHub CLI 的源代码,我惊讶地发现他们的客户端密钥是这样烘焙的:
var (
// The "GitHub CLI" OAuth app
oauthClientID = "178c6fc778ccc68e1d6a"
// This value is safe to be embedded in version control
oauthClientSecret = "34ddeff2b558a23d38fba8a6de74f086ede1cc0b"
jsonTypeRE = regexp.MustCompile(`[/+]json($|;)`)
)
GitHub 嵌入这个秘密如何安全?我使用自己的 CLI 应用程序执行此操作安全吗?
我假设(并希望)GitHub 在这里将客户端视为公共客户端。可能存在技术原因,导致他们还必须将客户端密钥发送到某些端点。从这个意义上说,将秘密放入代码/VC 中是可以的。您只需将其视为客户端 ID 的一部分即可。然而,这不是一个非常常见的用例。