我真的不能在客户端ID中包含开源软件吗？

2014年11月5日，Google对API服务条款进行了一些更改。

和你一样，我对以下这句话有疑问。

要求开发人员尽合理努力保持其私钥的私密性，不要将其嵌入到开源项目中。

我在GitHub上有几个开源项目，它们基本上是使用Google API的教程。其中一些API仍然处于beta版本，并且需要时间才能获得beta访问权限。 我将我的客户端ID嵌入到我的项目中，以便我的用户可以测试应用。

现在我在Google有一些联系人，所以我希望我能在这里得到某种豁免。我设法追踪到了上述有争议的服务更改的作者Dan Ciruli，并给他发送了电子邮件。

我的电子邮件相当长，你可以在这里阅读：服务变更

长话短说，不，你不能在开源项目中公开发布你的客户端ID，以下是Dan回复我的电子邮件解释原因。

但是，你让他们在Google的眼中“冒充”你。如果我们的滥用系统检测到滥用（例如，某人试图使用你的密钥DoS我们的服务），你面临着因此终止帐户的风险（请注意-他们不仅会切断密钥的访问权限，而且还会关闭控制台帐户）。此外，你已被授予对一般公众不可用的API进行了白名单访问（很可能需要同意单独的服务条款），并且正在与任何想要它的人共享访问权限。毫无疑问，这是违反那些条款的行为。很抱歉没有您要寻找的答案，但是密钥是我们识别调用我们服务的人的唯一方法。

这只是他回复我的电子邮件的一部分。您可以在上面的链接中阅读完整的帖子。因此，如果您向他们提供源代码并且他们可以看到客户端ID，则您的用户将不得不在Google Cloud控制台上创建自己的项目。无法绕过此问题。

希望对您有所帮助。

有一种更好的选择，它被称为OAuth 2.0动态客户端注册。不过，这仍然是一个正在进行中的工作：https://datatracker.ietf.org/doc/html/draft-ietf-oauth-dyn-reg-21。供应商采用和实施可能需要一段时间。

编辑：

在开源应用程序中提供身份验证秘密是绝对不可能的。[老实说，随着开源应用程序的增多，即使是其他应用程序也很难做到。]