如何在我们无法保存 key 的 FLOSS 应用程序中使用 oauth?如果其他人看到了 secret 和 key ,他就不能像他在我那里一样使用它来使用用户帐户吗?
最佳答案
我已经在我自己的开源 Twitter 应用程序中处理了这个问题。
您不得随源代码分发 ConsumerKey 或 ConsumerKeySecret。一种合理的方法是创建两个常量/全局变量(或其他变量)来保存这些值,并且它们在您发布的源代码中是 EMPTY。包括一些文档,向其他开发人员解释如何获取他们自己的 key 以及如何修改源代码以安装它们。
如果您要分发已编译的二进制文件,您将使用填充的 ConsumerKey 和 ConsumerKeySecret 值进行编译,以便应用程序运行。
没有“绝对安全”的方法来处理这个问题;这是 OAuth 的本质。但是,您可以 - 合理地 - 安全,这就是这种方法所达到的目的。
关于open-source - 如何在我们无法保存 key 的 FLOSS 应用程序中使用 oauth?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3617785/