aji*_*tam 5 javascript api token trello
我正在构建一个将购物车发送到我的trello板的应用程序,但我不希望用户接受应用程序(为此他们必须有trello帐户)而是我创建了另一个帐户("奴隶帐户")并将其读取,写入我的电路板的权限,并生成永不过期的读,写令牌.
在我的网页上,我包含了core.js
https://api.trello.com/1/client.js?key=[appkey]&token=[token]
一切正常但是......如果用户检查我的代码,他可以看到我的"app key"和"token".
所以我的问题是:
1.这是一个安全问题 - 访问者可以使用此应用程序密钥/令牌并访问bord吗?(我相信它是)
2.如何更改我的代码,以便页面的访问者看不到我的应用程序密钥/令牌?
谢谢
如果您让人们可以使用您的令牌,那么是的,那里存在潜在的安全问题 - 使用密钥和令牌,他们可以像您一样向您发出对该令牌授予的任何权限的请求。因此,如果您想创建一个具有对看板的写访问权限的令牌,您可能希望将其保留在服务器端,并将您的 Javascript 提交到您的服务器,然后服务器使用您生成的令牌将其转发到 Trello 站点。
如果您担心自己泄露了不想透露的令牌,可以在帐户页面底部https://trello.com/your/account使其失效。
| 归档时间: |
|
| 查看次数: |
1148 次 |
| 最近记录: |