我使用 Dropbox API 编写了一段简单的代码,这意味着使用我的应用程序的 APP_KEY 和 APP_SECRET。假设有人也想使用我的应用程序。我创建了一个 github 存储库,推送代码等等,但是,当然,我不放置 APP_KEY 和 APP_SECRETvalues。用户是否必须注册自己的该应用程序实例?还有别的办法处理吗?也许共享 APP_KEY 和 APP_SECRET 就足够安全了?
换句话说,Dropbox 禁止使用用户名密码对进行身份验证(而他们自己的官方应用程序正是这样做的),但我想(例如)为 KDE 的 Dolphin 制作一个插件,以便从上下文菜单和用户获取文件的公共链接甚至不应该知道所有这些秘密、钥匙等等。我应该怎么办?
在我看来,应用程序密钥和秘密应该标识您的应用程序实例/版本,而不是代码本身。因此,如果您想发布代码本身(例如在 github 上),则不应包含应用程序密钥和秘密。 (一种方法是将它们保存在应用程序可以读取的配置文件中,但不要将配置文件包含在公共存储库中。)
然后,当您发布应用程序(即,向最终用户进行一般用途)时,它可以包含嵌入其中的应用程序密钥和秘密,用户无法清楚地看到。当然,这里的具体细节需要根据场景进行判断。例如,非编译应用程序(例如 shell 脚本)默认以纯文本形式提供源代码,即使“已发布”也是如此,因此您可能不想包含它们。
但是,如果任何其他开发人员想要使用代码并自己构建应用程序(从源代码),他们应该注册并使用自己的应用程序密钥/秘密。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
