大家是怎么处理客户端的app key 和app secret防泄漏加密等问题的?

2012-09-09 16:14:12 +08:00
 hzlzh
有一对app key,app secret用于OAuth授权过程。

若是js/Adobe Air/Android 下的应用,源码暴露或者被逆向是很常见的,此时app secret泄漏就不好了,(如当年fawave泄漏的app secret被滥用导致被封杀的事情)

再者,若是php/python写的小程序,能不能既能分发出去给别人搭建用,又能加密了app secret 或这某些权限来防止滥用。

ps1:在开发平台设置callback url来区分不可行,用这程序的人域名不一
ps2:平台是 Twitter/Weibo/TXweibo

参看:
(具体到腾讯微薄的SDK说明,这句如何处理,有经验的给个思路)
目前我一直都是暴露key文件在源码中的 - -!


(via http://wiki.open.t.qq.com/index.php/SDK%E4%B8%8B%E8%BD%BD#JavaScript.2FFlash.2FAdobe_AIR_SDK )
4919 次点击
所在节点    问与答
1 条回复
damngood
2013-08-20 14:22:42 +08:00
Google 过来的 :)

现在也遇到这个问题:

在做QQ OAuth 2 登陆集成的时候, 如果用 QQ 给的 JS SDK 的话会不会造成 app secret 的泄漏啊

如果会的话该怎么样应对呢,只有在 Server 端做验证这个方法了?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/47292

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX