如果这些密钥被截获或以明文书写,会有什么危险?
facebook_app_id: XXX
facebook_app_secret: XXX
twitter_app_id: XXX
twitter_app_secret: XXX
twitter_access_token: XXX
twitter_token_secret: XXX
答案 0 :(得分:1)
应用程序ID(有时称为API密钥)不是保密的。它只是标识您的应用程序。您经常可以在使用JavaScript访问API的网站的源代码中找到应用ID。
App秘密必须保密。如果密钥被泄露,通常会有额外的安全措施(例如,可以访问的白名单域),但一般情况下,您可以说:如果某些密钥具有密钥,他可以执行您的应用程序可以执行的所有操作。
< / LI>Twitter使用OAuth1,而Facebook使用OAuth2,这是Twitter额外令牌秘密的原因。 OAuth1中的令牌密钥更安全,以防访问令牌容易受到攻击(如通过不安全的连接),但需要额外的步骤来获取令牌密钥。对于OAuth2,您应该使用安全连接。为了更好地理解Twitter使用的术语,您应该查看规范,尤其是definition of different tokens。