6

我正在构建一个应用程序以将购物车发送到我的trello板,但我不希望用户接受应用程序(为此,他们必须拥有 trello 帐户),而是创建了另一个帐户(“从属帐户”)并阅读,写权限到我的董事会并生成永不过期的读写令牌。

在我的网页上,我包含 core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token]

一切正常,但是......如果用户检查我的代码,他可以看到我的“应用程序密钥”和“令牌”。

所以我的问题是:
1. 这是一个安全问题 - 访问者可以使用这个应用程序密钥/令牌并访问 bord 吗?(我相信是的)
2. 如何更改我的代码以使页面的访问者看不到我的应用程序密钥/令牌?

谢谢

4

1 回答 1

3

如果您让人们可以使用您的令牌,那么是的,那里存在潜在的安全问题 - 使用密钥和令牌,他们可以像您一样发出请求,以获得您对该令牌授予的任何权限。因此,如果您想创建一个对董事会具有写入权限的令牌,您可能希望将其保留在服务器端,并将您的 Javascript 提交到您的服务器,然后服务器使用您生成的令牌将其转发到 Trello 站点.

如果您担心自己泄露了不想泄露的令牌,可以在https://trello.com/your/account的帐户页面底部将其无效。

于 2012-11-07T01:43:55.317 回答