2
Quelle est la meilleure façon de gérer les clés secrètes de consommateur pour OAuth dans les plugins qui seront distribués avec/comme code source (par exemple, les plugins Wordpress qui accèdent à Delicious ou Twitter)? Je connais OAuth is not designed with this in mind, et il y a proposals to solve it, mais quelle est la meilleure pratique en ce moment?Clés de consommateur OAuth dans les plugins
Il semble y avoir deux approches de ce:
- Mettez votre code secret client dans le code source (Occultation peut-être un peu), et l'espoir personne ne va en abuser et obtenir votre application interdite. Si quelqu'un le fait, demandez une nouvelle clé et publiez une mise à jour de votre logiciel. C'est what Twitter recommends for the moment.
- Dites à tout le monde d'obtenir sa propre clé de consommateur. Cela pourrait dérouter les non-développeurs qui savent juste comment installer un plugin, et empêche une rapide tentative d'essai de votre logiciel
Y a-t-il des fournisseurs qui vous aident à automatiser la seconde étape? Pour que votre serveur puisse contacter le fournisseur et générer un nouveau secret de consommateur, c'est en quelque sorte lié à votre application, mais toujours unique? Ou existe-t-il d'autres approches réalisables?
Est-ce toujours le meilleur conseil, pour obscurcir la clé? N'appelons pas cette sécurité, cependant, d'accord? Qu'est-ce que WordPress a fini par faire? –
@DSBlank: Il n'y a pas de solution WordPress officielle car elle est gérée dans des plugins développés par des développeurs externes. Il pourrait donc y avoir plusieurs implémentations qui utilisent des stratégies différentes. Je crois que [la deuxième version d'OAuth supprime le besoin de clés de consommateur secrètes] (http://hueniverse.com/2010/05/introducing-oauth-2-0/), mais je ne suis pas sûr de ça. –