我正在开发一个Firefox插件,我希望与使用oauth进行身份验证的某些第三方服务集成。因此,我需要使用API密钥和秘密来与其API进行通信。如果我要在插件的源代码中包含我的API密钥和秘密,那么人们(插件的用户等)是否能够识别密钥和秘密? SDK中是否有一些机制可以在插件中存储机密?
我在概念验证中使用的替代方案是,我要求用户生成密钥和密钥,并将其输入到设置中。这有效,但不是非常用户友好。
编辑:
为了澄清,在回应评论时,我并不是要保留源代码中的秘密,我正在寻找一种方法在我的插件中使用我自己的秘密并让它们对公众保密。因此,他们将使用我的插件发送给每个人。
答案 0 :(得分:1)
如果我要在插件的源代码中包含我的API密钥和秘密,那么人们(插件的用户等)是否能够识别密钥和秘密? SDK中是否有一些机制可以在插件中存储机密?
您要问的是,是否有可能让完全控制计算机的用户无法访问数据,但可以让用户可以完全控制的同一台计算机上运行的软件可以访问该数据。
没有
我在概念验证中使用的替代方案是,我要求用户生成密钥和密钥,并将其输入到设置中。这有效,但不是非常用户友好。
然后自动化流程以使其更加用户友好?