公开消费者秘密以在进行本地网站开发的开发人员之间共享有什么影响?

信息安全 Web应用程序 oauth
2021-08-23 01:51:17

关于Gittip 项目上的这个 GitHub 问题(结果是一个误报),将测试应用程序的 OAuth 消费者密钥和我们使用的每个提供者的密码硬编码到 git repo 中会产生什么安全隐患(如果有的话) .

其目的是让新开发人员尽可能简单地启动一个工作开发环境,并要求他们创建一堆 OAuth 应用程序似乎是不可取的。

对于它的价值,详细信息如下:

  • 假设仅本地站点开发(没有远程数据存储)
  • 提供商包括 Twitter、GitHub、OpenStreetMaps、Bitbucket、Venmo 等
  • 公开的秘密仅用于测试应用程序
1个回答

您能否仅将配置文件设为本地而不将其签入?

或者只是将配置文件/API 密钥分享给有限的受众?

共享密钥也使其成为单点故障。如果它是一个有限的测试帐户,您可以在需要时删除,您可以更好地控制。您还需要了解这些帐户(Twitter、Github、OpenStreetMaps 等)的条款,以确保您不会通过将 API id 作为可免费下载的内容托管来违反他们的服务条款。

同意从开发人员可用性的角度来看这不是最好的,但您的开发人员应该使用他们自己的 API 密钥来实现帐户隔离并保护您和其他人。这确实会影响启动时间,也许有一个项目可以为开发人员简化这个?来吧互联网,开始吧。

其它你可能感兴趣的问题
上一篇ADFS:验证来自依赖方的请求 下一篇密码强度和密钥强度的关系