在我们不能保存密钥的FLOSS应用程序中，如何使用oauth？

Question

在我们不能保存密钥的FLOSS应用程序中，如何使用oauth？如果其他人看到了秘密和密钥，他不能使用它来使用用户帐户，就像他在我那里一样？

Answer 1

我已经在我自己的开源Twitter应用程序中解决了这个问题。

您不能将ConsumerKey或ConsumerKeySecret与源代码一起分发。一种合理的方法是创建两个常量/全局变量(或其他任何值)来保存这些值，并且这些值在您发布的源代码中为空。包括一些文档，向其他开发人员解释如何获取他们自己的密钥，以及如何修改源代码以安装它们。

如果您正在分发已编译的二进制文件，则应使用填充的ConsumerKey和ConsumerKeySecret值进行编译，以便应用程序运行。

没有-perfectly安全的方法来处理这个问题；这是OAuth的本质。然而，您可以-合理地-安全，这就是这种方法所实现的。