Trello令牌安全問題？

Question

我正在構建一個應用程序來發送購物車到我的trello板，但我不希望用戶接受申請（爲此他們必須有trello帳戶），而是我創建了另一個帳戶（'奴隸帳戶'），並給它讀取，寫入權限到我的主板，並生成永不過期的讀取，寫入令牌。

在我的網頁我有core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token] 

一切正常，但是...如果用戶檢查我的代碼，他能看到我的「應用程序鍵」和「令牌」。

所以我的問題是：
1.這是一個安全問題 - 訪問者可以採取這個應用程序密鑰/令牌和訪問bord？ （我相信是這樣）
2.如何更改我的代碼，以便頁面的訪問者看不到我的應用程序密鑰/令牌？

THX

Answer 1

如果你正在你的令牌提供給人們，然後是的，有潛在的安全問題，還有 - 用鑰匙和令牌，就可以發出請求作爲您對上授予的任何權限令牌。因此，如果您想要創建一個具有寫入權限的令牌，您可能希望將其保留在服務器端，並將您的Javascript提交給服務器，然後使用您生成的令牌將其轉發到Trello站點。

如果您擔心自己發現了您不想要的令牌，則可以在帳戶頁面底部的https://trello.com/your/account處將其無效。