这是一个创建于 4270 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一对app key,app secret用于OAuth授权过程。
若是js/Adobe Air/Android 下的应用,源码暴露或者被逆向是很常见的,此时app secret泄漏就不好了,(如当年fawave泄漏的app secret被滥用导致被封杀的事情)
再者,若是php/python写的小程序,能不能既能分发出去给别人搭建用,又能加密了app secret 或这某些权限来防止滥用。
ps1:在开发平台设置callback url来区分不可行,用这程序的人域名不一
ps2:平台是 Twitter/Weibo/TXweibo
参看:
(具体到腾讯微薄的SDK说明,这句如何处理,有经验的给个思路)
目前我一直都是暴露key文件在源码中的 - -!
(via http://wiki.open.t.qq.com/index.php/SDK%E4%B8%8B%E8%BD%BD#JavaScript.2FFlash.2FAdobe_AIR_SDK )
若是js/Adobe Air/Android 下的应用,源码暴露或者被逆向是很常见的,此时app secret泄漏就不好了,(如当年fawave泄漏的app secret被滥用导致被封杀的事情)
再者,若是php/python写的小程序,能不能既能分发出去给别人搭建用,又能加密了app secret 或这某些权限来防止滥用。
ps1:在开发平台设置callback url来区分不可行,用这程序的人域名不一
ps2:平台是 Twitter/Weibo/TXweibo
参看:
(具体到腾讯微薄的SDK说明,这句如何处理,有经验的给个思路)
目前我一直都是暴露key文件在源码中的 - -!
(via http://wiki.open.t.qq.com/index.php/SDK%E4%B8%8B%E8%BD%BD#JavaScript.2FFlash.2FAdobe_AIR_SDK )
 |
1
damngood 2013-08-20 14:22:42 +08:00
Google 过来的 :)
现在也遇到这个问题: 在做QQ OAuth 2 登陆集成的时候, 如果用 QQ 给的 JS SDK 的话会不会造成 app secret 的泄漏啊 如果会的话该怎么样应对呢,只有在 Server 端做验证这个方法了? |
Select Language