我正在制作一个我计划用户可以轻松部署的网站;他们将能够获取我的源代码并将其部署到自己的服务器并将其作为自己的服务器运行。
我在考虑尝试将SSL和OpenID以及其他功能整合到网站中。是否允许用户访问这些文件(例如我的OpenID / Twitter / Facebook客户端密钥和密钥,或SSL证书内容,或其他任何内容......)是否存在潜在的安全隐患?他们能用这些信息做任何危险吗?
答案 0 :(得分:0)
SSL不是应用程序的关注
所有客户密钥和秘密都是您自己的责任......我不会公开分发它们。
通常,人们从环境中读取此信息
facebook_client_key = ENV["FACEBOOK_CLIENT_KEY"]
所以部署者只需要配置环境,而不是应用程序。
答案 1 :(得分:0)
我会避免将您的客户密钥和秘密等内容添加到您分发给用户的任何文件中。他们被称为秘密是有原因的!我不知道Facebook或Twitter的API的来龙去脉,但肯定会使用Akismet等产品,这是Wordpress的反垃圾邮件插件,该密钥用于识别您的特定Wordpress实例。
如果您将Wordpress网站用于商业目的,那么您应该为Akismet付费。问题在于,虽然您可能不是出于商业目的而自行使用它,但取决于您正在制作和分发的内容,并不是说其他人不会将其用于商业目的,最终会毁掉它而不仅仅是为了您,但对于其他使用您软件的人。
您应该将密钥和秘密作为应用程序配置的一部分,并且可能提供有关用户如何获取自己的配置的说明。