OAuth, dropbox api и несколько клиентов — безопасно ли?
Доброй ночи.
Ломаю голову вот. Есть приложение, созданное в дропбоксе. Есть сдк с примерами на php. Есть клиентские веб-скрипты, которые должны работать с апи дропбокса через то самое приложение. Т.е. у каждого клиента должен быть экземпляр скрипта. Соответственно, для авторизации и последующих запросов к апи, придется хранить у каждого клиента app_key и app_secret -- чем это чревато? Или я что-то не так понял?
Что вообще можно сделать, зная app_key и app_secret от приложения? Может ли это грозить чем-то моему аккаунту (на котором создано это самое приложение) или только клиентскому?
Что вы подразумеваете под "приложение созданное в dropbox" ?
Если это веб-приложение - то app_secret должен быть зашит в php коде, исполняться на сервере и клиенту быть соответственно не доступен.
PS
Т.к апи ходит в dropbox под учеткой клиента, утечка этих параметров в принципе ничем плохим не грозит. Ну разве что шаловливый пользователь воспользуется ими что бы имитировать поток запросов в dropbox от Вашего приложения и у Вас кончатся лимиты на запросы,- приложение сломается у всех сразу.
Приложение в дропбоксе в данной ситуации -- это приложение, которое с апи работать будет будет, созданное на сайте дропбокса.
Предположим, есть _программа_ на телефон, которая делает фотографию и автоматически заливает ее в дропбокс через апи. Для заливки, пользователю нужно авторизоваться и разрешить доступ моему приложению (созданному в дропбоксе) к его акаунту. Чтобы авторизоваться и получить токен нужны key и secret. Если пользователь как-то декомпилирует мою _программу_ и увидит эти ключи, он сможет что-то плохое сделать в моем аккаунте (где было создано приложение, от которого он получил key и secret) или не сможет выйти за пределы аккаунта, для которого у него получен токен?
Простой
Простой
Сложный
Средний
