Trello 键,哪些可以显示?
Trello keys, which can be revealed?
可以透露哪些密钥?我正在 python 中使用 trello api 开发开源应用程序。我有从 appKey/generate 生成的应用程序密钥,我总是需要它来启动客户端。如果我在我的源代码中硬编码这个应用程序密钥,那么每个人都可以使用我的帐户。如果我总是要求用户输入他的应用程序密钥,那么应用程序令牌需要什么?
您的开源应用的每个用户都需要提供自己的开发者密钥。我建议使用他必须在使用该应用程序之前填写的配置文件。
从那个页面开始,只有第一个键是 public,
https://trello.com/app-key
但是,第二个 "secret key" 是秘密的...我现在不知道它的用途,我们只使用 public 密钥 + 用户令牌。
即使您提供开发人员密钥,您的数据也是安全的,因为该密钥不允许该用户查看您的数据,他从 oauth 获得了自己的令牌,并且该令牌表明他只能与他自己的数据。
我们正在开发一个 javascript 应用程序,因此每个人都可以在 chrome 调试器中看到我们的开发密钥,但令牌是安全性。
即使您的用户使用的是您的个人 api_key,他也不会 "logged" 进入您的 trello 帐户,因此他看不到任何内容。 "token" 是用于安全和访问的密钥。
但是,因为您的应用程序不托管在您的服务器上,而是开源的并且任何人都可以使用,所以我建议不要在应用程序中提供您的密钥。
可以透露哪些密钥?我正在 python 中使用 trello api 开发开源应用程序。我有从 appKey/generate 生成的应用程序密钥,我总是需要它来启动客户端。如果我在我的源代码中硬编码这个应用程序密钥,那么每个人都可以使用我的帐户。如果我总是要求用户输入他的应用程序密钥,那么应用程序令牌需要什么?
您的开源应用的每个用户都需要提供自己的开发者密钥。我建议使用他必须在使用该应用程序之前填写的配置文件。
从那个页面开始,只有第一个键是 public, https://trello.com/app-key
但是,第二个 "secret key" 是秘密的...我现在不知道它的用途,我们只使用 public 密钥 + 用户令牌。
即使您提供开发人员密钥,您的数据也是安全的,因为该密钥不允许该用户查看您的数据,他从 oauth 获得了自己的令牌,并且该令牌表明他只能与他自己的数据。
我们正在开发一个 javascript 应用程序,因此每个人都可以在 chrome 调试器中看到我们的开发密钥,但令牌是安全性。
即使您的用户使用的是您的个人 api_key,他也不会 "logged" 进入您的 trello 帐户,因此他看不到任何内容。 "token" 是用于安全和访问的密钥。
但是,因为您的应用程序不托管在您的服务器上,而是开源的并且任何人都可以使用,所以我建议不要在应用程序中提供您的密钥。