使用Chrome身份验证令牌xoxc访问Slack API -
所以,最近我一直在尝试Slack API,我想出了当我在Chrome中使用Slack时,如何使用可用的密钥来访问API。我能够访问conversations.history方法并下载消息。任何有API经验的人都知道这是不是正常的事情?为了能够使用App或标准身份验证令牌访问API (用户令牌前缀为xoxp-和bot令牌xoxb-以及工作空间令牌xoxa-2。我使用的令牌是xoxc-。)这看起来有点不安全,所以我的问题是,API总是像这样容易受到攻击吗?而且,我猜我不应该像这样访问它,并且想知道是否有人听说过有人因为这个而遇到麻烦,或者这是否在意料之中/ok?
回答 1
Stack Overflow用户
发布于 2020-07-07 22:02:09
这是我从Slack那里得到的关于它的回应。
谢谢你伸出援手,我很乐意帮你。
为了澄清,xoxc令牌是web客户端使用的特殊令牌。这些令牌依赖于cookie,因此即使令牌以某种方式被盗,也不是很有用。
但是,虽然我们可能不会显式地阻止它,但不支持或不建议对API使用xoxc标记。我们的API方法和作用域旨在与Bot (xoxb)或用户令牌(xoxp)一起使用。工作空间令牌(xoxa)令牌现在已被弃用,因为它们只能在有限的开发人员预览期间创建,该预览已结束。https://api.slack.com/authentication/token-types
当您继续使用该应用程序接口时,我建议您创建一个Slack应用程序并创建一个适当作用域的令牌,如下所述:https://api.slack.com/authentication/basics#scopes
我希望这有助于澄清,但如果您有任何进一步的问题,请告诉我。
https://stackoverflow.com/questions/62759949
复制相似问题
腾讯云开发者
