オープンソースプロジェクトの機密データを守る

Question

私はOauth v2ログインシステムを構築したいと思っていました。私は開示されないことを意味するclient_secretが与えられました。プロジェクトはオープンソースなので、どうすれば他の人からclient_secretを隠すべきですか？元の作成者だけがこれらの機密データにアクセスできるシステムはありますか？

Authトークンをバックエンドファイルに保存し、それを呼び出す関数を使用することをお勧めしますか？メソッドにセキュリティ上の問題はありますか？

私のプロジェクトは、JS、Reactおよびノー​​ドに役立ちます。

Answer 1

最も簡単な方法は、起動時にプロジェクトによって読み取られる構成ファイルを作成することです。この設定ファイルは、ソースコードリポジトリには含まれません。client_secretが含まれていないサンプルバージョンのみです。

さらに、client_secretの入手方法と入手方法、および動作中のコンフィギュレーションファイルを作成する方法を説明するreadmeファイルを追加します。