Open source twitterxauth vs开源

我正在开发一个开源的桌面twitter客户端。我想利用新的xAuth身份验证方法，但是我的应用程序是开源的，这意味着如果我将密钥直接放入源文件，它可能是一个漏洞（对吗？twitter支持人员告诉我的）

另一方面，将密钥直接放入二进制也没有意义。我正在用python编写我的应用程序，因此，如果我只提供pyc文件，那么由于python出色的反射能力，获得密钥还需要一秒钟。如果我创建一个带有密钥的小.so文件，那么通过查看原始二进制文件（密钥具有固定长度和字符集）来获取密钥也很简单

---

你的意见是什么？公开API密钥真的是一个安全漏洞吗？

安全漏洞？从广义上讲，是的。但实际上，我们谈论的不是核发射代码

可能发生的最糟糕的事情是，有人可能会拿走并使用你的应用程序的密钥来做一些与Twitter的TOS相反的事情，最终导致密钥被禁止。没有任何用户数据会受到攻击，因为您没有分发用户令牌（从安全角度来看，这会更糟糕）。因为任何人都可以在2秒钟内免费注册一个应用程序，所以进行这种模仿的唯一原因就是为了玷污你或你的应用程序的声誉

---

您可以做的一件事是将它们从源代码中删除，但要明确，用户从源代码进行编译时需要获取自己的密钥并将它们放在适当的位置，但将它们保留在您分发的二进制版本中。虽然不是100%安全，但这会让它更难阻止一定数量的n'er-do-well

我得出了类似的结论。我的应用程序是开放源代码的，但密钥是适当的。如果密钥不存在，那么应用程序将返回到旧的身份验证方法（这非常容易，多亏了python和tweepy）。