我正在开发一个开源桌面 twitter 客户端。我想利用新的 xAuth 身份验证方法,但是我的应用程序是开源的,这意味着如果我将密钥直接放入源文件中,这可能是一个漏洞(我说得对吗?推特支持人员告诉我) .
另一方面,将密钥直接放入二进制文件也没有意义。我正在用 python 编写我的应用程序,所以如果我只提供 pyc 文件,由于 Python 出色的反射能力,获取密钥需要多一秒钟。如果我使用密钥创建一个小的 .so 文件,通过查看原始二进制文件(密钥具有固定长度和字符集)来获取密钥也很简单。
你有什么意见?公开 API 密钥真的是一个安全漏洞吗?