我开发了一个小型 Python Dropbox 应用程序,但我不知道如何隐藏应用程序 key 和应用程序 secret 。在解决这个问题之前,我不确定如何发布我的应用程序,因为这似乎是一个重大的安全威胁。
我知道很难混淆代码,尤其是 Python,所以我不太确定这是一个选项..但是我还能做什么?我考虑过使用某种形式的加密和/或将它们存储在服务器上,以便在应用程序启动时检索。是否可以用另一种更容易混淆的语言(如 C)编写处理键的部分?由于我对加密了解不多,因此我不确定这些选项是否可行。
最佳答案
为了防止随意滥用您的应用程序 key (例如复制/粘贴代码的人没有意识到他们应该创建自己的应用程序 key / key 对),可能值得做一些混淆,但正如您所指出的,这不会阻止有决心的个人获取应用程序 secret 。
在客户端应用程序(例如移动或桌面应用程序)中,您实际上无法采取任何措施来真正保密 OAuth 应用程序的 secret 。也就是说,共识似乎是这并不重要。事实上,在 OAuth 2 中,客户端应用程序的推荐流程是“ token ”或“隐式”流程,它根本不使用应用程序 key 。
关于Python Dropbox 应用程序,我应该如何处理应用程序 key 和应用程序 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23750850/