Oauth Consumer Secret?

5

Utilizzando OAuth hai una chiave utente e un segreto del consumatore per identificare la tua applicazione e l'utente fornisce un token di accesso OAuth e un segreto per autenticare l'accesso dell'applicazione al proprio account, ad esempio Twitter. Diciamo che stai sviluppando un'applicazione desktop in Python che ha funzionalità di Twitter che utilizzano OAuth come è possibile mantenere la chiave del tuo consumatore segreta? È così male se non è mantenere il segreto? Quali sono le alternative qui oltre a chiedere agli utenti di registrare le proprie applicazioni di Twitter e utilizzare la propria chiave di consumo e il segreto.

    
posta iiSeymour 11.10.2013 - 16:41
fonte

1 risposta

1

Indipendentemente dal linguaggio di programmazione che usi, se il segreto del consumatore è da qualche parte all'interno del binario, può essere recuperato.

Se è semplicemente codificato nel sorgente, un semplice $ strings -a app.exe ti darà una lista di stringhe nel binario. Il segreto del consumatore sarà uno di questi.

L'offuscamento potrebbe scoraggiare lo snoop occasionale, ma dato abbastanza tempo e risorse, può essere estratto.

Is it so bad if it's not keep secret?

Qualcuno in possesso della tua chiave utente / coppia segreta può rappresentare la tua applicazione, abusare delle restrizioni imposte dall'API di Twitter, il che potrebbe rendere l'app inutilizzabile per altri utenti e alla fine ottenere la lista nera [1]

What are the alternatives here beside asking users to registers their own Twitter > applications and use their own consumer key and secret.

Invece della stessa app che effettua chiamate all'API di Twitter, puoi avere un servizio proxy a cui invii la coppia token / segreto oauth e fa le chiamate API necessarie, restituendo i dati all'utente. (Come menzionato nel thread di stackoverflow pertinente )

1. link

    
risposta data 18.10.2013 - 07:33
fonte

Leggi altre domande sui tag