2

我正在开发一个需要使用 oAuth 1.0a 授权服务的开源项目。为此,客户端应用程序需要获取用作授权握手一部分的“密钥”和“秘密”。

问题:将这些令牌签入我的 SCM 是否安全?如果没有,我应该如何处理?

更新:我在这里指的键是特定于应用程序的,它们的服务是复制

4

1 回答 1

0

这实际上取决于密钥的秘密程度。

如果它们与 AWS 之类的用户帐户相关联,那么我会说绝对不要将它们包含在 SCM 中。在这种情况下,应用程序应检查环境变量以从用户目录加载密钥文件。

如果它们的设计更适合每个应用程序,那么将键包含在源代码树中是合理的。

现在,如果你正在开发一个库。将您的密钥包含在测试下的源代码树中是合理的,但不将其包含在二进制分布中。

我要建议的一件事是,您将密钥置于与图书馆其他部分不同的版权条款下。这样,如果有人分叉您的代码,您可以强制他们获取自己的密钥。

于 2013-08-09T19:40:51.950 回答