为什么要隐藏“消费者秘密”?

【问题标题】:Why should I hide "consumer secret"?为什么要隐藏“消费者秘密”?
【发布时间】:2012-04-20 23:43:04
【问题描述】:

我目前正在使用 javascript 编写一个 twitter 客户端,然后发现很多人提醒 javascript 开发人员不要泄露“消费者秘密”。但他们从未说出原因。

那么为什么隐藏我的 consumer_secret 如此重要?如果有人想在他的应用上显示我的“via My_App”,让 My_App 这个名字更出名,我为什么要担心什么?毕竟,你不能从我的consumer_secret中得到任何有用的信息,用户信息同时受到https和token_secret的保护。

【问题讨论】:

    标签: javascript oauth


    【解决方案1】:

    恶意开发者可能会使用您的消费者密码创建垃圾邮件应用程序。如果有足够多的垃圾邮件帐户正在使用垃圾邮件应用,Twitter 可能会禁用整个消费者密钥,此时您的整个应用程序将无法再与 Twitter 一起使用。

    【讨论】:

    • 但是在推特上申请一个应用程序太容易了,为什么垃圾邮件开发者还要费心使用我的应用程序?
    • 因为它与他们或他们的 Twitter 帐户无关。另外,如果他们窃取了流行应用程序的秘密,Twitter 可能不得不延迟撤销秘密,真正的应用程序开发人员是否会使用新令牌推送更新。
    【解决方案2】:

    您可以将消费者机密视为密码——它向服务器标识您的客户端。知道您的消费者秘密的任何人都可以冒充您的应用。

    所以你需要保证它的安全,你不想“隐藏”它;你想加密它。这应该发生在服务器上,从不在您发送给用户的 javascript 应用程序中。

    您可以在 Google 的support page 找到很多有用的信息。

    【讨论】:

    • 如果你有一个基于 javascript 的客户端 Twitter 应用程序,你如何“隐藏”秘密或加密秘密?它必须对客户端 JavaScript 可用,才能发送到 Twitter 服务器,对吧?
    猜你喜欢
    • 2012-07-29
    • 2013-02-28
    • 1970-01-01
    • 2011-10-13
    • 2016-04-14
    • 2012-08-11
    • 1970-01-01
    • 2014-08-23
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode