我正在开发一个需要使用oAuth 1.0a授权服务的开源项目。为此,客户端应用程序需要获取“密钥”和“秘密”,用作授权握手的一部分。
问题:将这些令牌检入我的SCM是否安全?如果没有,我该怎么处理呢?
更新:我在这里提到的密钥是特定于应用程序的,他们所使用的服务是copy
答案 0 :(得分:0)
这实际上取决于密钥的秘密程度。
如果它们与AWS的用户帐户相关联,那么我会说绝对不会将它们包含在SCM中。在这种情况下,应用程序应检查环境变量以从用户的目录加载密钥文件。
如果它们更适合每个应用,那么在源树中包含密钥是合理的。
现在,如果你正在开发一个库。将您的密钥包含在测试下的源代码树中是合理的,但不包括二进制分发。
我建议的一件事是,您将密钥置于与图书馆其他部分不同的版权条款下。这样,如果有人问你的代码,你可以强迫他们获得自己的密钥。