我目前正在使用 javascript 编写一个 twitter 客户端,然后发现很多人提醒 javascript 开发人员不要泄露“消费者秘密”。但他们从来没有说为什么。
那么为什么隐藏我的 consumer_secret 如此重要呢?如果有人想在他的应用程序上显示我的“via My_App”,让 My_App 这个名字更出名,我为什么要担心什么?毕竟,你不能从我的consumer_secret中得到任何有用的信息,用户信息同时受到https和token_secret的保护。
问问题
456 次
2 回答
4
恶意开发人员可以使用您的消费者密码创建垃圾邮件应用程序。如果有足够多的垃圾邮件帐户正在使用垃圾邮件应用程序 Twitter 可能会禁用整个消费者密钥,此时您的整个应用程序将不再与 Twitter 一起使用。
于 2012-04-07T23:03:22.970 回答
2
您可以将消费者机密视为密码——它向服务器标识您的客户端。任何知道你的消费者秘密的人都可以伪装成你的应用程序。
所以你需要保证它的安全,你不想“隐藏”它;你想加密它。这应该发生在服务器上,而不是您发送给用户的 javascript 应用程序中。
您可以在 Google 的支持页面上找到很多有用的信息。
于 2012-04-07T23:01:58.407 回答