Проблема безопасности токена Trello?

Я создаю приложение для отправки корзины на мою доску trello, но я не хочу, чтобы пользователи принимали приложение (для этого у них должен быть установлен trello учетная запись) вместо этого я создал другую учетную запись («подчиненная учетная запись») и дал ей разрешение на чтение и запись на моей доске и сгенерировал токен для чтения и записи, срок действия которого не истекает.

На моей веб-странице я включаю core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token]

Все работает, но... если пользователь проверит мой код, он увидит мой "ключ приложения" и "токен".

Итак, мой вопрос:
1. Является ли это проблемой безопасности - посетитель может взять этот ключ/токен приложения и получить доступ к борду? (Я так думаю)
2. Как мне изменить свой код, чтобы посетитель страницы не видел мой ключ/токен приложения?

спасибо


javascript api token trello
person ajitam    schedule 01.11.2012    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Если вы делаете свой токен доступным для людей, то да, существует потенциальная проблема безопасности — с ключом и токеном они могут выдавать запросы, как и вы, для любых разрешений, которые вы предоставили для этого токена. Поэтому, если вы хотите создать токен с доступом для записи на доску, вы, вероятно, захотите сохранить его на стороне сервера и отправить свой Javascript на свой сервер, который затем, в свою очередь, ретранслирует его на сайт Trello, используя сгенерированный вами токен. .

Если вы обеспокоены тем, что раскрыли токен, который не хотели раскрывать, вы можете аннулировать его в нижней части страницы своей учетной записи по адресу https://trello.com/your/account.

person Brett    schedule 07.11.2012
comment
Спасибо за объяснение. Я немного подумал о проблеме и написал PHP-класс, так что это больше не проблема. - person ajitam; 07.11.2012