Je veux créer un client Twitter open-client de bureau épais. Il se trouve que j'utilise .NET comme langue et Twitterizer comme enveloppe OAuth / Twitter, et mon application sera probablement publiée en open source.
Pour obtenir un jeton OAuth, quatre informations sont nécessaires:
- Jeton d'accès (nom d'utilisateur twitter)
- Access Secret (mot de passe twitter)
- La clé du consommateur
- Secret du consommateur
Les deux deuxièmes informations ne doivent pas être partagées, comme une clé privée PGP. Cependant, en raison de la façon dont le flux d'autorisation OAuth est conçu, ceux-ci doivent être sur l'application native. Même si l'application n'était pas open source et que la clé / secret du consommateur était cryptée, un utilisateur raisonnablement qualifié pourrait accéder à la paire clé / secret du consommateur.
Donc ma question est, comment puis-je contourner ce problème? Quelle est la stratégie appropriée pour qu'un client Twitter de bureau protège sa clé et son secret de consommateur?