Trello 令牌安全问题?

【问题标题】:Trello token security issue?Trello 令牌安全问题?
【发布时间】:2012-10-22 13:09:36
【问题描述】:

我正在构建一个应用程序来将购物车发送到我的trello 板,但我不希望用户接受应用程序(为此,他们必须拥有 trello 帐户)而是我创建了另一个帐户(“从属帐户”)并授予它对我的板的读、写权限并生成永不过期的读、写令牌。

在我的网页上,我包含 core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token]

一切正常,但是...如果用户检查我的代码,他可以看到我的“应用程序密钥”和“令牌”。

所以我的问题是:
1。这是一个安全问题吗 - 访问者可以获取此应用程序密钥/令牌并访问 bord? (我相信是的)
2。如何更改我的代码以使页面的访问者看不到我的应用密钥/令牌?

谢谢

【问题讨论】:

    标签: javascript api token trello


    【解决方案1】:

    如果您让人们可以使用您的令牌,那么是的,那里存在潜在的安全问题 - 使用密钥和令牌,他们可以像您一样发出请求,以获得您在该令牌上授予的任何权限。因此,如果您想创建一个对董事会具有写入权限的令牌,您可能希望将其保留在服务器端,并将您的 Javascript 提交到您的服务器,然后服务器使用您生成的令牌将其转发到 Trello 站点.

    如果您担心自己泄露了不想泄露的令牌,可以在帐户页面底部https://trello.com/your/account 将其无效。

    【讨论】:

    • 感谢您的解释。我把一些想法放在了写 PHP 类的问题上,所以这不再是问题了。
    猜你喜欢
    • 2014-10-30
    • 1970-01-01
    • 2014-12-11
    • 2017-08-28
    • 2018-10-16
    • 2010-12-04
    • 2016-11-29
    • 1970-01-01
    • 2012-09-11
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode