Mir raucht der Kopf. Folgendermaßen, ich habe mir mal die OAuth-Lib von Abraham angeschaut und habe damit auch eine Verbindung zwischen meiner Webanwendung und (in diesem Fall) Twitter herstellen können.
OK.
Diese Anwendung soll irgendwann demächst als freie Webapplikation runterladbar sein. In jener Lib werden aber Keys in Reinform im php-Code als Variablen abgelegt. Ergo kann sie jeder lesen, der sich diesen Code mal runterlädt.
Wie ist der gängige Weg, per OAuth zu authorisieren, ohne die Secret-Keys plain im Code mitzugeben? Baue ich extra dafür eine API-intheMiddle, um zwischen Webanwendung und Oauth/twitter zu vermitteln?
mfg chmee
OK.
Diese Anwendung soll irgendwann demächst als freie Webapplikation runterladbar sein. In jener Lib werden aber Keys in Reinform im php-Code als Variablen abgelegt. Ergo kann sie jeder lesen, der sich diesen Code mal runterlädt.
Wie ist der gängige Weg, per OAuth zu authorisieren, ohne die Secret-Keys plain im Code mitzugeben? Baue ich extra dafür eine API-intheMiddle, um zwischen Webanwendung und Oauth/twitter zu vermitteln?
mfg chmee
