consumer secret
オープンソースプロジェクトでOauthを使用するforTwitterをどのように非表示にしますか?本番環境にデプロイする前に、コードにシークレットを追加しますか?
これは、一般的なオープンソースコードのシークレット/パスワードにも当てはまります。
consumer secret
オープンソースプロジェクトでOauthを使用するforTwitterをどのように非表示にしますか?本番環境にデプロイする前に、コードにシークレットを追加しますか?
これは、一般的なオープンソースコードのシークレット/パスワードにも当てはまります。
それらを環境変数に保存することもできます。
everyauth.twitter.consumerKey(process.env.TWITTER_CONSUMER_KEY)
.consumerSecret(process.env.TWITTER_CONSUMER_SECRET)
標準的な解決策は、それを構成ファイルに保存することです。したがって、ソフトウェアをインストールして実行したいすべての人は、ソフトウェアを使用するために自分のパスワードを登録する必要があります。
一般に、サーバーベースのソフトウェアの場合、各インストールは個別のサービスです。たとえば、NBC Universal、NPR、Huffington Postはすべて同じソフトウェアを使用していますが、異なるエンティティと見なされます。したがって、これは一般的に理にかなっています。
ただし、デスクトップベースのソフトウェアの場合はそうではありません。NBC、NPR、およびHuffington Postで使用されるワードプロセッサは、別のソフトウェアとは見なされず、MicrosoftWordにすぎません。したがって、デスクトップベースのソフトウェア(またはモバイルアプリ)の場合、ビルドプロセス中に必要な秘密鍵/秘密コードを含めることを除いて、ソリューションは同様です。繰り返しになりますが、これをすべて構成ファイルに保持すると、作業が楽になります。パブリックリポジトリにアップロードするexample/default設定ファイルにシークレットが含まれていないことを確認してください。