Distribución del token de la API de aplicación

Navega tus respuestas
3

Escribí un cliente de twitter simple para el uso de la línea de comandos. Para dicha aplicación, Twitter requiere dos tipos de tokens, a saber

  • identificación de la aplicación,
  • Token de OAuth del usuario.

El segundo es permitir que el usuario se conecte a su cuenta, y el primero es, en principio, identificar al desarrollador / aplicación para twitter.

Hasta ahora, he distribuido (bien colocado en github) solo el código sin ningún token. Los tokens de usuario están claros, es responsabilidad del usuario final autorizar el acceso a su cuenta.

El problema que tengo es para el token de identificación de la aplicación. Hasta ahora, requiero que el usuario final registre una aplicación, tome ese token y use el código. Me temo que al tenerlo directamente disponible, la gente podría tomarlo, usarlo en otra aplicación y abusar de la API de Twitter. Pero eso tiene un costo de complejidad para el usuario final.

¿Cómo debo compartir / organizar la identificación de la aplicación que sea segura para el desarrollador y simple para el usuario?

    
pregunta bilbo_pingouin 02.03.2016 - 08:06
fuente

1 respuesta

2

Tu problema no es compartir secretos; Es más filosófico en términos de cómo se diseñan los sistemas.

Si lo que tiene es una aplicación CLI que debe tener en su sistema y, en sí misma, se comunica directamente con la API de Twitter, nunca podrá "ocultar" este token de ID de aplicación. Debe aceptar el riesgo y proporcionar su ID, o los usuarios finales deben registrarse por su cuenta. No hay una tercera opción.

La solución alternativa sería que aloje la aplicación principal como un componente del lado del servidor que usted (o sus "usuarios intermedios") mantienen en un servidor. Allí puede guardar este token de ID de aplicación. Los usuarios finales utilizarán la aplicación CLI como un cliente que interactúa con este componente del servidor, y la parte del servidor interactúa con la API de Twitter mediante el token proporcionado por el usuario y su propio token de ID de aplicación.

    
respondido por el Adi 02.03.2016 - 08:48
fuente

Lea otras preguntas en las etiquetas

Detectando actividad de red inusual ¿Cómo evitar que Memcpy provoque un desbordamiento de Heap?