6

カートを自分のtrelloボードに送信するアプリケーションを作成していますが、ユーザーにアプリケーションを受け入れてほしくありません (そのためには、Trello アカウントが必要です) 代わりに、別のアカウント (「スレーブ アカウント」) を作成して読み取ります。ボードへの書き込み許可を取得し、有効期限のない読み取り、書き込みトークンを生成します。

私のWebページにcore.jsを含めます

https://api.trello.com/1/client.js?key=[appkey]&token=[token]

すべてが機能しますが...ユーザーがコードをチェックすると、「アプリキー」と「トークン」が表示されます。

私の質問は:
1. これはセキュリティ上の問題ですか? 訪問者はこのアプリのキー/トークンを取得してボードにアクセスできますか? (そうだと思います)
2. ページの訪問者にアプリ キー/トークンが表示されないようにコードを変更するにはどうすればよいですか?

どうも

4

1 に答える 1

3

トークンを他のユーザーが利用できるようにしている場合は、そうです。そこには潜在的なセキュリティの問題があります。キーとトークンを使用すると、そのトークンに付与した権限について、ユーザーがリクエストを発行できます。したがって、ボードへの書き込みアクセス権を持つトークンを作成する場合は、サーバー側でそれを保持し、Javascriptをサーバーに送信して、サーバーが生成したトークンを使用してそれをTrelloサイトに中継することをお勧めします。 。

不要なトークンを公開したことが心配な場合は、アカウントページの下部(https://trello.com/your/account )で無効にすることができます。

于 2012-11-07T01:43:55.317 に答える