我是后端新手,我在网上阅读了教程。似乎人们建议在 application.yml 中执行此操作:
spring:
security:
oauth2:
client:
registration:
google:
client-id: <YOUR_CLIENT_ID>
client-secret: <YOUR_CLIENT_SECRET>
scope: openid,profile,email
resourceserver:
jwt:
issuer-uri: https://accounts.google.com
jwk-set-uri: https://www.googleapis.com/oauth2/v3/certs
在这里存储客户端机密安全吗?或者有其他更好的选择吗?
不,这不安全。
您应该在启动应用程序时放置一个虚拟值并覆盖它,使用众多 Spring Boot 属性覆盖选项之一(
-Dspring.security.oauth2.client.registraion.google.client-secret="change-me"
命令行参数,SPRING_SECURITY_OAUTH2_CLIENT_REGISTRATION_GOOGLE_CLIENT_SECRET
环境变量,...)