OAuth - 开源应用程序中的消费者秘密

时间:2010-10-30 04:42:41

标签: php twitter oauth

我正在创建一个用于集体管理Twitter的Wordpress插件 帐户。我想允许用户通过“管理”面板添加帐户 类似于twitterfeed.com的方式。

然而,我能看到的唯一方法是让用户签名 在他们的帐户中,以唯一的名称注册该应用程序 将Consumer Key和Consumer Secret粘贴到我的应用程序中。

简单的安全影响是什么? 使用我的插件分发单个Consumer Key和Consumer Secret, 这样我就可以获得请求令牌和访问令牌并最小化 用户需要的努力?

1 个答案:

答案 0 :(得分:7)

据我了解,最大的问题(我不确定它是否一定是安全问题)是有人会不恰当地使用您的密钥/密钥(假设是垃圾邮件应用程序)导致它被撤销。此时,插件的每个实例都将无法进行身份验证,您必须生成一个新实例,将其合并到插件中并让所有用户进行更新。这可能不太理想......

Ars Technica对此有一个非常好的评论here