OpenTok / ToxBox:将API密钥保密吗？

Question

我正在使用OpenTok .js API来构建一个web应用程序。

TokBox的“安全最佳实践”文档(https://tokbox.com/developer/guides/security/#best-practices)说“保持API密钥和秘密的私有和安全”

我可以将API“保密”在浏览器应用程序之外，但据我所知，为了调用OT.initSession()，浏览器必须使用API键。

我是不是遗漏了什么，还是TokBox文档只是误导了我？

Answer 1

这里是OpenTok团队的Manik。

您是正确的，API密钥将按预期在客户端(浏览器、移动设备等)可用。这不是一个问题，因为您需要API密钥& API秘密组合才能创建会话、生成令牌等。

出于安全考虑，您不应该公开API密钥和API秘密的组合。