Come gestire le chiavi sviluppatore che dovrebbero essere non leggibili nella tua app? (esempio: conflitto specifico con twitter api e twitter gem)

2

In che modo gestire le chiavi sviluppatore che non dovrebbero essere leggibili nell'app?

Dalla pagina dello sviluppatore di twitter, sotto Token personale, si dice:

"Mantieni oauth_token_secret un segreto. Insieme al tuo segreto utente OAuth, queste chiavi non dovrebbero mai essere leggibili dalle persone nelle tue applicazioni."

Tuttavia, il fantastico gemma twitter ( link ) dice di creare un inizializzatore con questo:

Twitter.configure do |config|
  config.consumer_key = YOUR_CONSUMER_KEY
  config.consumer_secret = YOUR_CONSUMER_SECRET
  config.oauth_token = YOUR_OAUTH_TOKEN
  config.oauth_token_secret = YOUR_OAUTH_TOKEN_SECRET
 end

Che cosa fai riguardo a questo tipo di conflitto? Non puoi semplicemente resettare oauth_token e oauth_token_secret, per quanto ne so tu devi creare una nuova app per twitter. Mi preoccupa il fatto che inizierò a lavorare con alcuni programmatori freelance e per cominciare non vorrei fidarmi delle mie chiavi / token privati delle mie app. Grazie.

    
posta trying_hal9000 15.04.2011 - 01:25
fonte

1 risposta

0

Non è un problema se ti fidi dei tuoi sviluppatori. Le implicazioni sulla sicurezza di un token "filtrato" non sono catastrofiche (in pratica, qualcuno potrebbe scrivere un'applicazione che "assomiglia" alla tua applicazione dal punto di vista di Twitter). Potresti richiedere un reset delle tue chiavi OAuth, ma non so quali siano i requisiti specifici di Twitter su quel fronte, però.

Ma se non ti fidi dei tuoi sviluppatori (e questo è un po 'preoccupante per cominciare, IMO), allora puoi configurare i tasti e quindi configurare due applicazioni Twitter: a " test "o" dev "e la tua app" produzione ". Dai ai tuoi sviluppatori "non fidati" le chiavi "dev" e prenota le chiavi di "produzione" solo per te.

    
risposta data 15.04.2011 - 01:39
fonte

Leggi altre domande sui tag