如果我与开发我的网站的人分享我的Facebook客户端ID和秘密ID以便他们可以创建Facebook登录按钮,这是不是很糟糕?
他还向我询问了所有这些其他信息,并且我全力以赴地在我的网站上创建了Facebook,Instagram和Twitter登录按钮。我还给了他谷歌的那些。
Instagram的
CLIENT_NAME 客户ID 客户秘密 客户状态 网站 描述
的App_id App_secret App_page_id
CONSUMER_KEY CONSUMER_SECRET
答案 0 :(得分:1)
这是一个问题,其答案在很大程度上取决于您拥有的环境和设置类型,但简而言之,这些日子并不是一个好主意,因为它很容易避免分享这些秘密。
这些ID通常是公开的,因此共享ID没有坏处,但如果您可以自行管理,则应将密钥直接输入到服务器(或应用服务)环境设置中。不同的主机有不同的方式来实现这一点,请咨询您的托管服务提供商和开发团队,以指导您。
如果你自己不是技术人员,不想经历管理服务器访问的麻烦,发现很难学习并且信任你的开发人员,那么它很好,他们需要它来进行实际的部署。 / p>
记住,在他们开发和测试网站/服务时,他们可以使用他们自己在大多数情况下可以获得的临时app-id和密钥。
跟进问题:
问。如果我进入设置并要求为所有这些社交服务提供新的密钥,它是否会影响开发人员的编程并产生问题,或者它会没事客户端ID对于这项工作是否足够好?
回答是,如果重置密钥,服务将失败,并且需要在服务器上配置新密钥。有关Facebook,Google,Instagram开发者页面的大量指南,您可以阅读这个主题并且非常简单。
问。如果他们有秘密ID,他们可以进入我的Facebook,Instagram等吗?
回答没有关键字适用于应用/服务,以允许您的网站请求允许您的应用的用户信息,而不是访问您的帐户。
问。请告诉我,如果他们与开发人员做错了什么,与开发者分享这个秘密可能会发生什么最糟糕的事情?
回答它基本上是一种安全风险。可能发生的最糟糕的事情之一就是它们将它提交到一个开放的代码库或以错误的方式实现它,以便任何人都可以轻松访问它。这将允许攻击者/黑客让您的应用程序用户相信他们在攻击中向您的应用程序(通过使用您的应用程序ID和秘密)访问他们请求的数据。但同样,这很大程度上取决于开发人员的粗心大意,如果他们做得好,他们会努力保证开发人员的安全。在下次会议中询问他们如何使用它以及如何保护其他人复制它。他们很可能是好人,并考虑到这一点,并会向你解释。