是否可以设置 Arq 备份以使用 Google Cloud Storage,而无需向其提供您的登录凭据
我想使用 Arq 通过 Google Cloud Storage 备份我的电脑。当我尝试设置它时,它会要求我输入账户名/密码
然后它请求获得控制我账户中所有存储空间的权限
让某些第三方应用程序控制我的谷歌账户似乎不是一个好的做法。
Google Cloud Storage 有办法为应用程序创建密钥这似乎是设置 Arq 之类的东西的更正确方法。这样,我可以制作一个仅具有访问单个预先创建的存储对象的权限的密钥,并将该密钥提供给 Arq。我永远不必在 Arq 中输入我的密码,如果有人设法窃取我的密钥,他们只能访问该对象。而且,我不必担心 Arq 会意外访问或删除任何不属于它的存储对象。
有没有办法做到这一点?
否则,似乎我唯一的其他选择就是为 Arq 创建一个单独的 Google 帐户?
答案1
例如,您可以授予另一个 Google 帐户访问您 Google Cloud 帐户中单个存储桶的权限。然后在 Arq 中使用该其他 Google 帐户,Arq 将只能访问该 1 个存储桶。
答案2
这正是 OAuth 2.0 身份验证的工作方式。
您不需要在 Arq 中存储用户名和密码,也不需要让它控制您的 Google 帐户,而是直接向 Google API 验证应用程序的有效性。
您仅授予 Arq 登录和 Google 云端存储的指定权限,如您附加的屏幕截图所示。
您看到的屏幕截图不是 Arq 的表单,而是直接与 Google 的浏览器会话,它会将访问令牌返回给 Arq。
您正在考虑第 4.4.1.4 点OAuth 2.0 威胁模型和安全注意事项:“恶意客户端获取授权”。列出了服务器端应采取的预防措施。
在客户端,如果您认为 Arq 是一个恶意应用程序,那么您首先就不应该运行它。
如果您担心键盘记录器(即某些程序记住您的密码),那么您应该对您的 Google 帐户使用第二因素身份验证。
答案3
除了建议授予另一个 Google 帐户访问存储桶的权限外,您还必须授予该帐户对整个项目的“查看者”访问权限。如果您不这样做,Arq 将在尝试访问项目时冻结。