插件中的 OAuth 使用者密钥

Question

在将与/作为源代码分发的插件（例如访问 Delicious 或 Twitter 的 WordPress 插件）中处理 OAuth 消费者密钥的最佳方法是什么？我知道 OAuth 的设计并未考虑到这一点，并且有 解决该问题的建议，但目前最好的做法是什么？

似乎有两种方法可以实现这一点：

1. 将您的消费者秘密放在源代码中（也许稍微混淆一下），并希望没有人会滥用它并禁止您的应用程序。如果有人这样做，请请求新密钥并发布软件更新。这是 Twitter 目前推荐的内容。
2. 告诉每个人都获得自己的消费者密钥。这可能会让只知道如何安装插件的非开发人员感到困惑，并阻碍快速试用您的软件

是否有任何提供商可以帮助您自动化第二步？这样您的服务器就可以联系提供商并生成新的消费者秘密，该秘密以某种方式链接到您的应用程序，但仍然是唯一的？或者还有其他可行的方法吗？

Answer 1

第三种选择是托管一个 Web 应用程序，充当您正在使用的任何 OAuth 服务的代理。您的所有 API 密钥均在您的服务器上由您控制。缺点是您需要花钱来保持机器运行。作为奖励，您可以收集一些有关插件使用情况的分析数据。

如果您认为您的用户有足够的技术能力来生成自己的 API 密钥，则可以选择第二种。我已经实现了这个方法，但支持起来很痛苦。

我不推荐第一种方法，因为人们可能会窃取您的 OAuth 密钥并冒充您的应用程序。一旦您的 API 密钥泄露，该服务将阻止您的 API 密钥，并且您的插件将停止工作。然后你会争先恐后地尝试升级一堆你无法再控制的代码。