我目前正在使用javascript编写一个Twitter客户端,然后发现许多人提醒javascript开发人员不要泄露“消费者秘密”。但他们从未说过原因。
那么为什么隐藏我的consumer_secret是如此重要?如果有人想在他的应用程序上显示我的“via My_App”,使名称My_App更有名,我为什么要担心什么呢?毕竟,您无法从我的consumer_secret中获取任何有用的信息,用户信息受https和token_secret的保护。
答案 0 :(得分:4)
恶意开发者可以使用您的消费者秘密创建垃圾邮件应用程序。如果有足够的垃圾邮件帐户使用垃圾邮件应用程序Twitter可能会禁用整个用户密钥,此时您的整个应用程序将无法再使用Twitter。
答案 1 :(得分:2)
您可以将消费者秘密视为密码 - 它将您的客户端识别为服务器。拥有您的消费者秘密的任何人都可以假装成您的应用程序。
所以你需要保证它的安全,你不想“隐藏”它;你想加密它。这应该发生在服务器上,从不在你发送给用户的javascript应用程序中。
您可以在Google support page找到大量有用的信息。