OpenAuth &开源项目
OpenAuth &开源项目
提问于 2013-08-08 21:04:29
我正在开发一个开源项目,它需要授权给使用oAuth 1.0a的服务。要做到这一点,客户端应用程序需要获得一个“密钥”和一个“秘密”,作为授权握手的一部分。
问:将这些令牌签入我的SCM安全吗?如果没有,我该怎么处理呢?
更新:这里我所指的键是特定于应用程序的,它们用于的服务是复制
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-08-09 19:40:51
这真的取决于钥匙有多秘密。
如果它们被绑定到像AWS这样的用户帐户上,那么我要说的是,绝对不要将它们包括在SCM中。在这种情况下,应用程序应该检查环境变量以从用户目录加载密钥文件。
如果它们更适合每个应用程序,那么将密钥包含在源树中是合理的。
现在,如果你在开发一个库。将密钥包含在测试下的源树中是合理的,但不包括二进制发行版。
我要建议的一件事是,你将密钥置于与图书馆其他部分不同的版权条款之下。这样,如果有人分叉了您的代码,您就可以强迫他们获得自己的密钥。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/18136078
复制相关文章
相似问题
腾讯云开发者
