Durante lo sviluppo di un'applicazione desktop che deve accedere all'API di Twitter, è necessario in qualche modo passare la chiave API (chiave utente specifica dell'applicazione e segreto utente) per l'applicazione all'utente. L'API TOS di Twitter afferma che la chiave API dell'applicazione non può essere pubblicamente disponibile e, se ciò accade, viene ripristinata. Quando tale applicazione è in GPL, il che significa che lo sviluppatore deve fornire il codice sorgente all'utente, in che modo tale utente sarebbe in grado di ottenere la chiave API senza che sia disponibile pubblicamente? C'è un modo standard per gestire questo problema? Grazie.Qual è il modo standard per gestire le chiavi API di Twitter nelle applicazioni desktop GPL?
Modifica: Per chiarire la situazione, stavo memorizzandoli in testo nel mio codice per cree.py per quanto riguarda una decisione consapevole. Ma ieri Twitter team di supporto mi ha contattato che hanno azzerato la mia chiave e il loro ragionamento è stato il seguente:
C. Non dovrebbe sollecitare le chiavi di consumo di un altro sviluppatore o segreti di consumo soprattutto se saranno conservati o utilizzati per le azioni esterne del controllo di quello sviluppatore. Chiavi e segreti compromessi verranno ripristinati da Twitter. Ad esempio, i servizi online che richiedono questi valori per fornire un servizio di "tweet-branding" non sono consentiti. https://dev.twitter.com/terms/api-terms Se le chiavi di un'applicazione sono pubblicate pubblicamente, consente a parti esterne di dirottare l'accesso all'API dell'applicazione. Questo presenta un enorme rischio di abuso e, come tale, abbiamo ripristinato le tue chiavi API. Si prega di assicurarsi che queste chiavi non siano pubblicate di nuovo pubblicamente.
Grazie, Twitter Privacy API
Beh, se twitter insiste per proteggerti, dovrai interrompere cree.py in due, una parte essendo un server proxy gestito da te e solo attraverso il quale ogni variante cree.py chiede a Twitter. Altrimenti, dovresti avere ognuno che vuole usare cree.py avere il loro mazzo di chiavi – adamo
Beh, erano piuttosto assoluti riguardo al "sistema d'onore" che rompeva i loro TOS. Credo che le loro API, le loro regole. Proxyying tutte le richieste sarebbe ingombrante, suppongo che potrei semplicemente installare un server che alimenta la chiave API dell'applicazione alla prima esecuzione su ciascun client. Ma ci sono abbastanza applicazioni desktop GPL che accedono all'API di Twitter (ad esempio, i client di Twitter), quindi sto cercando pensieri sulla procedura "standard". –