2012-11-01 26 views
5

Sepetim trello kartıma göndermek için bir uygulama yapıyorum, ancak kullanıcıların uygulamayı kabul etmesini istemiyorum (bunun için trello hesabı olmalı) yerine başka bir hesap oluşturdum ('slave hesabı') ve ver Okumak, tahtaya yazma izni yazmak ve okuma süresi, asla sona ermeyen yazma belirteci oluşturmak. Benim Web sayfasında

Ben kullanıcı kodumu kontrol ederse o benim "uygulama, anahtarı" ve "belirteç" görebilirsiniz ... core.jsTrello belirteç güvenlik sorunu?

https://api.trello.com/1/client.js?key=[appkey]&token=[token] 

Her şey eserler ancak sayılabilir.

Yani benim soru:
1. Bu bir güvenlik sorunu var mı - ziyaretçi Bu uygulamanın anahtar/belirteci ve erişim bord alabilir? (Inanıyorum)
2. Kodumu nasıl değiştiririm, böylece sayfanın ziyaretçisi uygulama anahtarımı/jetonumu görmez? onlar bu konuda verilmiş herhangi izinleri için senin kadar istekleri verebilir, anahtar ve jeton ile -

thx

cevap

2

Eğer insanlar için kullanılabilir belirteç yapıyorsanız, o zaman evet, orada potansiyel bir güvenlik sorunu olduğunu jeton. Bu nedenle, tahtaya yazma erişimi olan bir jeton oluşturmak istiyorsanız, muhtemelen sunucu tarafında tutmanız ve Javascript'in sunucunuza gönderilmesini sağlayın. Ardından, oluşturduğunuz jetonu kullanarak Trello sitesine yönlendirin. .

İstediğiniz bir belirteci açığa vurduğunuzdan endişe duyuyorsanız, hesabınızın alt kısmını https://trello.com/your/account numaralı telefondan geçersiz kılabilirsiniz. Açıklama için

+0

. Ben bir sorun yazdım sonunda yazdım PHP sınıf yazmak böylece bu artık bir sorun değil. – ajitam