哪些键可以显示?我正在 python 中使用 trello api 开发开源应用程序。我有从 appKey/generate 生成的应用程序密钥,我总是需要它来启动客户端。如果我在我的源代码中硬编码这个应用程序密钥,那么每个人都可以使用我的帐户。如果我总是要求用户输入他的应用程序密钥,那么应用程序令牌需要什么?
问问题
375 次
1 回答
0
您的开源应用程序的每个用户都需要提供自己的开发人员密钥。我建议使用他必须在使用应用程序之前填写的配置文件。
从该页面,只有第一个密钥是公开的, https://trello.com/app-key
但是,第二个,“密钥”,是秘密的……我暂时不知道是做什么用的,我们只使用公钥+用户令牌。
即使您提供开发人员密钥,您的数据也是安全的,因为该密钥不允许该用户查看您的数据,他从 oauth 获得了自己的令牌,并且该令牌告诉他只能与自己的数据进行交互。
我们正在开发一个 javascript 应用程序,所以每个人都可以在 chrome 调试器中看到我们的 dev 密钥,但令牌是安全的。
即使您的用户使用您的个人 api_key,他也不会“登录”到您的 trello 帐户,因此他看不到任何内容。“令牌”是用于安全和访问的密钥。
但是,由于您的应用程序不是托管在您的服务器上,而是开源的,任何人都可以使用,因此我建议您不要在应用程序中提供您的密钥。
于 2015-04-27T20:16:58.900 回答