因此,最近我一直在使用Slack API,并且我想出了如何在Chrome中使用Slack时使用可用密钥来访问API。我可以访问sessions.history方法并下载消息。有API经验的人都知道这是否正常吗?为了能够使用App或标准身份验证令牌访问API(用户令牌的前缀为xoxp-和bot令牌xoxb-和工作区令牌为xoxa-2。我使用的令牌为xoxc-。)似乎有点不安全,所以我的问题是,API总是像这样容易受到攻击吗?而且,我猜测我不应该这样访问它,并且想知道是否有人听说过有人为此烦恼或期望/确定吗?
答案 0 :(得分:1)
这是我从Slack收到的答复。
感谢您的帮助,我们很乐意提供帮助。
为澄清起见,xoxc令牌是Web客户端使用的特殊令牌。这些令牌取决于Cookie,因此即使令牌被盗,也不会很有用。
但是,尽管我们可能未明确阻止它,但不支持或建议对API使用xoxc令牌。我们的API方法和范围旨在与Bot(xoxb)或用户令牌(xoxp)一起使用。现在不推荐使用工作区令牌(xoxa)令牌,因为它们只能在有限的开发人员预览(此后已结束)期间创建。 https://api.slack.com/authentication/token-types
当您继续使用API时,建议创建一个Slack应用并创建一个适当范围的令牌,如下所述: https://api.slack.com/authentication/basics#scopes
我希望这有助于澄清,但是如果您还有其他疑问,请告诉我。