代码之家  ›  专栏  ›  技术社区  ›  tamasd

Twitter xAuth vs开源[关闭]

xauth oauth twitter open-source
  •  3
  • tamasd  · 技术社区  · 14 年前

    我正在开发一个开源的桌面twitter客户端。我想利用新的xAuth身份验证方法,但是我的应用程序是开源的,这意味着如果我将密钥直接放入源文件中,它可能是一个漏洞(对吗?twitter支持人员告诉我)。

    另一方面,将密钥直接放入二进制也没有意义。我正在用python编写我的应用程序,因此如果我只提供pyc文件,那么由于python出色的反射能力,只需一秒钟就可以获得密钥。如果我创建一个带有密钥的小.so文件,那么通过查看原始二进制文件(密钥具有固定长度和字符集)来获取密钥也很简单。

    你的意见是什么?公开API密钥真的是个安全漏洞吗?

    1 回复  |  直到 14 年前
        1
  •  4
  •   Jason Diller    14 年前

    安全漏洞?从广义上讲,是的。但事实上,这些不是我们讨论的核发射代码。

    您可以做的一件事是将它们从源代码中删除,但要明确指出,用户从源代码进行编译时需要获取自己的密钥并将它们放置在适当的位置,但要将它们保留在您分发的二进制版本中。虽然不是100%安全,但这会让它变得更难,从而阻止一定数量的n'er-do-well。

    推荐文章
    megha  ·  Alamofire 4检索器和适配器无法查看更改的accessToken
    6 年前
    kamaci  ·  为Twitter OAuth生成哈希
    6 年前
    Viktor Reinok  ·  JHipster社交登录中的redirect\u url不正确
    6 年前
    Irios  ·  Spring Oauth2:未找到预身份验证的AuthenticationProvider身份验证[已关闭]
    6 年前
    Nipoon Patel  ·  Gmail登录如何工作
    6 年前
    Aaron  ·  IdentityServer4和运行在iOS 9.3.5上的客户端(禁用JavaScript)
    6 年前
    Perumal Ramasamy  ·  如何增加access token+Spring boot+OAuth的到期日?
    6 年前
    Stan  ·  将R Studio连接到精确的在线API
    6 年前
    Lennie  ·  如何为OAuth Facebook登录指定重定向URL
    6 年前
    WelpNathan  ·  Discord OAuth2返回{“error”:“access\u denied”}
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号