如何在无法保存密钥的 FLOSS 应用程序中使用 oauth？

Question

如何在无法保存密钥的 FLOSS 应用程序中使用 oauth？如果其他人看到了秘密和密钥，他不能用它来使用用户帐户，就像他在我那里一样吗？

Answer 1

我已经在我自己的开源 Twitter 应用程序中处理了这个问题。

您不会随源代码一起分发 ConsumerKey 或 ConsumerKeySecret。合理的方法是创建两个常量/全局变量（或其他变量）来保存这些值，并且这些值在您发布的源中是空的。包括一些文档，向其他开发人员解释如何获取自己的密钥以及如何修改源来安装它们。

如果您要分发已编译的二进制文件，则需要使用填充的 ConsumerKey 和 ConsumerKeySecret 值进行编译，以便应用程序运行。

没有完全安全的方法来处理这个问题；这是 OAuth 的本质。然而，您可以相当安全，这就是此方法所实现的目标。