Problema di sicurezza token Trello?

Question

Sto costruendo un'applicazione per inviare il carrello alla mia scheda trello, ma non voglio che gli utenti accettino l'applicazione (per questo devono avere un account trello) invece ho creato un altro account ('account slave') e darlo leggi, scrivi permessi sulla mia board e genera token di lettura, scrittura che non scade mai.

Sulla mia pagina web che includono Core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token] 

opere tutto, ma ... se l'utente controlla il mio codice può vedere il mio "chiave app" e "token".

Quindi la mia domanda è:
1. Si tratta di un problema di sicurezza: il visitatore può utilizzare questa chiave/token e accedere al bordo? (Credo che lo sia)
2. Come cambio il mio codice in modo che il visitatore della pagina non veda la mia chiave/token dell'app?

thx

Answer 1

Se si stanno facendo si Token disponibili per le persone, allora sì, v'è un potenziale problema di sicurezza lì - con la chiave e il token, possono emettere richieste come per eventuali autorizzazioni concesse su quel gettone. Quindi, se vuoi creare un token con accesso in scrittura alla scheda, probabilmente lo vuoi mantenere sul lato server e invia il tuo Javascript al server, che a sua volta lo inoltra al sito Trello usando il token che hai generato .

Se si è preoccupati di aver rivelato un token che non si desidera, è possibile invalidarlo nella parte inferiore della pagina del proprio account al numero https://trello.com/your/account.