2

我正在使用 Survey Monkey api 来获取我创建的调查的 url,它允许我在我的应用程序中显示调查。为此,我必须随请求发送我的密钥和授权。

我担心的是,Survey Monkey 有一个允许创建调查的 api 'create_flow'。使用提琴手我可以看到我的请求,包括密钥和授权令牌。据我所知,这意味着任何人都可以使用此信息访问 api 并在我的帐户上创建一个新的调查,这是我不想要的。

有什么方法可以阻止某人使用 API 和身份验证令牌创建新调查?我并不真正担心人们可以访问调查详细信息或 Uri,因为他们所能做的就是发布只有我会看到的垃圾调查结果,但我绝对不希望其他人能够创建一个调查以潜在的恶意文本呈现给我的所有用户。

4

1 回答 1

2

无法将帐户设为只读。

因此,如果我的理解正确,您正在运送一个包含您的 api_key 和访问令牌的应用程序?

这是非常不推荐的 - 访问令牌相当于您的帐户密码,它可以完全访问您的帐户。

如果您想要一种动态列出调查的方法,最好的方法是创建一个您自己托管的代理网络应用程序/API。当有人点击该地址时,它会使用您存储在盒子上的访问令牌/api 密钥并获取调查列表,然后将其返回到您的应用程序。这是执行此操作的唯一安全方法。

于 2014-10-06T17:55:19.963 回答