2012-11-01 148 views
5

我正在構建一個應用程序來發送購物車到我的trello板,但我不希望用戶接受申請(爲此他們必須有trello帳戶),而是我創建了另一個帳戶('奴隸帳戶'),並給它讀取,寫入權限到我的主板,並生成永不過期的讀取,寫入令牌。

在我的網頁我有core.jsTrello令牌安全問題?

https://api.trello.com/1/client.js?key=[appkey]&token=[token] 

一切正常,但是...如果用戶檢查我的代碼,他能看到我的「應用程序鍵」和「令牌」。

所以我的問題是:
1.這是一個安全問題 - 訪問者可以採取這個應用程序密鑰/令牌和訪問bord? (我相信是這樣)
2.如何更改我的代碼,以便頁面的訪問者看不到我的應用程序密鑰/令牌?

THX

回答

2

如果你正在你的令牌提供給人們,然後是的,有潛在的安全問題,還有 - 用鑰匙和令牌,就可以發出請求作爲您對上授予的任何權限令牌。因此,如果您想要創建一個具有寫入權限的令牌,您可能希望將其保留在服務器端,並將您的Javascript提交給服務器,然後使用您生成的令牌將其轉發到Trello站點。

如果您擔心自己發現了您不想要的令牌,則可以在帳戶頁面底部的https://trello.com/your/account處將其無效。

+0

thx爲解釋。我把一些想法寫進一個問題最終編寫PHP類,所以這不再是一個問題。 – ajitam