我该如何处理APP_KEY和APP_SECRET(Dropbox API)
我使用Dropbox API编写了一段简单的代码,这意味着使用我的应用程序的APP_KEY和APP_SECRET。 我们假设有人想要使用我的应用程序。 我创建了一个github repo,推送代码等等,但是,当然,我没有把APP_KEY和APP_SECRET 值放在一起。 用户是否必须注册自己的应用程序实例? 还有其他方式可以处理吗? 也许共享APP_KEY和APP_SECRET足够安全,让它成为那样?
换句话说,Dropbox禁止使用用户名 – 密码对进行身份validation(虽然他们自己的官方应用确实如此),但我希望(例如)为KDE的Dolphin制作插件,以便从上下文菜单和用户获取文件的公共链接甚至不应该知道所有这些秘密,钥匙等。 我该怎么办?
您可以使用Dropbox API Key Encoder对密钥进行编码,并使用dropbox.js对其进行解码。 这样您就不需要公开您的密钥了
我看到它的方式,应用程序密钥和秘密应该标识您的应用程序的实例/发布,而不是代码本身。 因此,如果您想要释放代码本身,例如,在github上,则不应包含应用密钥和密钥。 (实现此目的的一种方法是将它们保存在应用程序可以读取的配置文件中,但不要在公共存储库中包含配置文件。)
然后,当您释放您的应用程序(即,最终用户以供一般使用)时,它可以包括嵌入在内部的应用程序密钥和秘密,而不是用户明显可见。 当然,根据场景,这里的细节是一个判断调用。 例如,默认情况下,非编译应用程序(例如,shell脚本)使源文件以纯文本forms提供,即使在“已发布”时也是如此,因此您可能不希望包含它们。
但另外,如果任何其他开发人员想要使用代码并自己构建应用程序(来自源代码),他们应该注册并使用自己的应用程序密钥/秘密。
我正在使用Figaro Gem来隐藏我的Dropbox密钥: https : //github.com/laserlemon/figaro
- 迁移时需要使用add_index来获取belongs_to / has_many关系吗? (Rails 3.2,Active Record)
- 什么是Rails插件或Ruby gem来自动修复英语语法?