<https://docs.duplicati.com/en/latest/05-storage-providers/#google-drive>
按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
按照官网 <https://docs.duplicati.com/en/latest/appendix-e-how-we-get-along-with-oauth/> 描述,他们搭建 https://duplicati-oauth-handler.appspot.com 这个授权服务是为了不把 Client Secret 暴露在客户端。但是 Google Drive 和 OneDrive 的 OAuth 很早就都提供了面向桌面应用、Callback URL 是 localhost 、只用 Client ID 的授权方式,为什么它不用?虽然官方一再声称服务器存储的 token 在存储前都通过用 authId 进行加密,被 hacked 了也不会泄露,但事实是那个能对你网盘账号有完全访问权限的 token 明文会被发送到他们的服务器。对于这个开源工具面向的用户,必须把自己网盘账号完全访问权限的 token 存在别人的服务器是很严重的一个问题吧。它这么做的目的是什么?
Select Language