可以透露哪些密钥?我在python中使用trello api开发开源应用程序。我有从appKey / generate生成的应用程序密钥,我始终需要启动客户端。如果我在源代码中对此应用程序密钥进行硬编码,那么每个人都可以使用我的帐户。如果我要求用户总是输入他的应用程序密钥,那么应用程序令牌需要什么?
答案 0 :(得分:0)
开源应用的每个用户都需要提供自己的开发人员密钥。我建议在使用应用程序之前使用必须填写的配置文件。
从该页面开始,只有第一个密钥是公开的, https://trello.com/app-key
但是,第二个,#34;密钥",是秘密的...我现在还不知道用于什么,我们只使用公钥+用户令牌。 / p>
即使您提供了开发人员密钥,您的数据也是安全的,因为密钥不允许该用户查看您的数据,他从oauth获得了自己的令牌,并且该令牌表明他只能与他自己的数据。
我们正在开发一个javascript应用程序,所以每个人都可以在chrome调试器中看到我们的dev键,但令牌是安全性。
即使您的用户使用的是个人api_key,他也不会被记录下来#34;进入你的trello帐户,这样他就什么也看不见了。 "令牌"是用于安全性和访问的密钥。
但是,因为您的应用不是托管在服务器上,而是开放源代码,任何人都可以使用,我建议您不要在应用中提供密钥。