我正在使用Survey Monkey api获取我创建的调查的网址,这些调查允许我在我的应用程序中显示调查。为此,我必须通过请求发送我的密钥和授权。
我担心的是Survey Monkey有一个api'create_flow',可以创建调查。使用fiddler我可以看到我的请求,包括密钥和授权令牌。据我所知,这意味着任何人都可以使用此信息访问API并在我的帐户上创建一个新的调查,这是我不想要的。
有没有办法阻止某人使用API和身份验证令牌创建新的调查?我并没有真正为人们获取调查细节或Uri而烦恼,因为他们所能做的就是发布我只会看到的垃圾调查结果,但我绝对不希望任何其他人能够创建调查向潜在恶意文本的所有用户展示。
答案 0 :(得分:2)
无法将帐户设为只读。
因此,如果我理解正确,那么您要发送一个包含api_key和访问令牌的应用程序?
这是非常不推荐的 - 访问令牌等同于您的帐户密码,它提供对您帐户的完全访问权限。
如果您想要一种动态列出调查的方法,最好的方法是创建您自己托管的代理Web应用/ API。当有人点击该地址时,它会使用您存储在盒子上的访问令牌/ api密钥并抓取调查列表,然后将其返回给您的应用。这是唯一安全的方法。