React native 将TWITTER_CONSUMER_密钥/机密放入客户端以进行oAuth1 TWITTER登录是否存在安全漏洞?
我发现的所有React原生Twitter登录客户端似乎都在将Twitter_CONSUMER_密钥和Twitter_CONSUMER_密钥硬编码到客户端代码中,而不是依赖服务器生成令牌和/或Twitter重定向URLReact native 将TWITTER_CONSUMER_密钥/机密放入客户端以进行oAuth1 TWITTER登录是否存在安全漏洞?,react-native,oauth,twitter-oauth,React Native,Oauth,Twitter Oauth,我发现的所有React原生Twitter登录客户端似乎都在将Twitter_CONSUMER_密钥和Twitter_CONSUMER_密钥硬编码到客户端代码中,而不是依赖服务器生成令牌和/或Twitter重定向URL 这安全吗?(例如,消费者不能使用TWITTER_consumer_键DOS API,导致应用程序速率受限吗?) 这是正确的方法吗 有更好/更安全的方法吗 根据twitter的文档,这似乎不是正确的方法: “如果您认为您的API密钥已公开,则应按照以下步骤重新生成API密钥”——
- 这安全吗?(例如,消费者不能使用TWITTER_consumer_键DOS API,导致应用程序速率受限吗?)
- 这是正确的方法吗
- 有更好/更安全的方法吗
GET account/verify_credentials
端点()发送请求oauth/request\u令牌
端点()发送POST请求。
此端点本身需要使用
你的应用程序的消费者密钥/机密/auth/twitter
),该端点将执行上述所有步骤
该服务还可以实现另一个端点(/auth/twitter/token
),该端点处理对回调URL的请求,回调URL是您在twitter应用程序设置中设置的。此回调URL用作同一个三条腿流的一部分。该端点将拥有随后继续并检索用户电子邮件/Twitter-ID所需的所有信息
最后,/auth/twitter/token
可以重定向到自定义URL,您的客户端应用程序需要将其作为URL方案的一部分进行处理。它可以通过参数的方式包含足够的信息,以便您的应用程序在认证后根据需要继续