Posso evitare di cuocere il mio segreto consumatore dell'API di Twitter nel binario dell'app per iPhone?

Question

Mi piacerebbe fare OAuth per Twitter da un'app per iPhone. Ma farlo implica che ho bisogno di avere la mia API segreta insieme alla mia chiave API cotta nel binario dell'applicazione. Questo è ovviamente indesiderabile.

Facebook supporta la nozione di session proxy per aggirare il problema parallelo con la loro API.

Posso fare qualcosa di simile per Twitter?

Answer 1

Risposta breve: No.

OAuth è stato creato per e funziona molto bene per le applicazioni web. È un piolo quadrato in un foro rotondo per applicazioni native. La specifica 1.0a avrebbe dovuto renderla più praticabile per le applicazioni native, ma non aiuta molto.

Come è stato sottolineato, uno dei problemi principali è che le chiavi del consumatore devono essere memorizzate nell'applicazione. Non è un problema per le applicazioni web in cui l'accesso alla sorgente è limitato, ma un grosso problema per le applicazioni native.

L'altro problema principale riguarda il fatto che non fornisce alcuna protezione aggiuntiva rispetto ai moduli di accesso standard per le applicazioni native, ma non lo farò.

Ma dal momento che Twitter lo sta forzando su di te se desideri accedere a limiti di frequenza più elevati e il nome dell'applicazione associato a Tweets, hai poca scelta.

L'unico modo per evitare di avere la chiave utente nel codice dell'applicazione è di inoltrare tutte le richieste tramite il proprio server.

Answer 2

Alcuni inseriscono la chiave in un file di impostazioni che verrà letto dall'applicazione. Altri memorizzano la chiave in un file di database locale nell'app. Altri memorizzano la chiave sul proprio server e l'app nativa si connette al server per ottenere la chiave e il segreto.