我正在构建一个使用 Twitter API 的(业余)应用程序,它支持通过 OAuth 协议进行身份验证。
OAuth 登录过程的一部分涉及为每个应用程序分配一个消费者密钥和消费者秘密(均为字符串),用于生成与 Twitter 服务器通信的签名。
Twitter 开发指南明确指出,应该将“消费者的秘密”保密。此密钥在您的应用程序中永远不应该是人类可读的。'。这显然很重要,就像恶意个人获取了您的凭据一样,他们可以冒充您的应用程序。
但是,我不明白如何实现这一点。为了让应用程序使用该字符串,应用程序必须能够以某种方式访问它(直接编码到应用程序中、存储在捆绑的数据库中或通过链接的 Web 服务访问) - 如果应用程序可以访问它,它用户必须可以访问。它可以通过拆分,字符转换等来混淆,但不是(据我所知)以任何无法撤消的方式。
这个SO 答案证实了我的怀疑,即这是一个问题 - 我想知道自 09 年 12 月发布以来是否有任何进展?