Gmail IMAP OAuth для настольных клиентов
Недавно Google объявил, что они поддерживают OAUth для Gmail IMAP / SMTP. Я просмотрел их многочисленные документы, но все еще не понимаю, поддерживают ли они OAuth для установленных приложений.
1. Вэта документация они говорят:
Примечание. Несмотря на то что протокол OAuth поддерживает вариант использования настольного компьютера / установленного приложения, Google поддерживает OAuth только для веб-приложений.
Но у них также есть документ дляOAuth для установленных приложений.
2. Когда я читаюСпецификация OAuth указывает на них, он говорит (в разделе 11.7):
Во многих приложениях приложение Consumer будет находиться под контролем потенциально ненадежных сторон. Например, если Потребитель является свободно доступным настольным приложением, злоумышленник может загрузить копию для анализа. В таких случаях злоумышленники смогут восстановить Секретный ключ, используемый для аутентификации Потребителя у Поставщика услуг.
Также я думаю, что отказ от ответственности в пункте 1 вышеAPI данных Googleи, конечно, IMAP / SMTP не является их частью.
Я понимаю, что для установленных приложений у меня может быть такая настройка:
У меня есть небольшое веб-приложение, скажем, example.com для моего приложения. Это веб-приложение общается с Google, получает токен доступа.
Установленное приложение обращается к example.com только для получения токена доступа.
Установленное приложение затем общается с Google с токеном доступа.
Я сейчас в замешательстве. Это единственный способ? Кроме того, если я выполняю OAuth из настольного приложения, мы должны отправить ключ Consumer Secret вместе с приложением. Тогда мы не можем сохранить секретность ключа потребителя.