我在写一个little web utility,向Twitter和/或Facebook发布状态更新。这涉及使用这两种服务创建“应用程序”以获取API密钥和“秘密”。公开Facebook API秘密的潜在问题是什么?
我的问题是如何保护我真的需要保留这些秘密 - 为了使这一切都起作用,您似乎需要秘密来与服务的身份验证部分进行交互,以授予应用程序访问您的账户的权限和/或授予其以您的名义发布更新的权限。 Facebook的文档说保护秘密,但至少one other Facebook utility分发源中的API密钥和秘密。
重要的是要注意:这不是您在Facebook上下文中运行的标准Facebook“应用程序”,也不是标准的“桌面”风格的编译应用程序 - 它是一个基于Web的应用程序,旨在成为在您自己的Web服务器上运行。对此的观众可能很小,比平均水平稍高一些 - 所以,一种技术选择是要求人们获得他们自己的API密钥和秘密来使用应用程序。然而,这似乎有很多工作要做,而且对于任何使用这种方法的人来说都是一个相当大的障碍。
如果我把我的应用程序的配置中的秘密和API密钥都放入配置中,并将它检入Github以供所有人查看,任何人都知道我有什么样的麻烦,
+1非常好的问题 – Sarfraz