読み取り専用のTwitter OAuth consumer_key/secretを簡単に公開しているコードで公開するのは危険ですか？

Question

プリアンブル：これはthis questionに非常に近く、システムの仕組みや現在の実装の欠陥についてはthis articleと読んでいます。

私たちは、読み取り専用のユーザーのアカウントへのアクセス、（ステータス/ home_timeline APIメソッドにアクセスするために）必要とWordpressのプラグイン（PHP）を開発しています。このプラグインは、人々が使用するためにオープンに配布され、プラグインコード内に既存のアプリケーションのアプリケーションキーを埋め込むことができるように、インストールするのが簡単なはずです。

キーを使用して別のアプリケーションを開発することができると私は理解していますが、アカウントに書き込んでいないので、プラグインのすべてのユーザーに生成を要求する唯一の選択肢彼ら自身のアプリケーション。

上記を踏まえ、私たちのcomsumer_key/consumer_secretを意図どおりに使用することはできますか？また、可能な結果はどうなるでしょうか（Twitter関連のスマックダウン以外）？

Answer 1

一般的に最小です。

コンシューマートークンのペア自体は役に立たず、ユーザーのアクセストークンのペアを取得する唯一の方法は、ユーザーにtwitter.comの認証フローを経由させることです。それはあなたが認可ページに表示するあなたのブランドになりますので、オリジナルページを模倣して自分のブランドユーザーが実際に自分のアカウントにアクセスできると思うでしょう。第三者がユーザーアクセストークンのペアを取得し、そのアプリケーションが読み取り専用になると、起こりうる2つの危険なアクションがあります。友人の保護されたステータスから自分のDMへの1つのすべての個人情報は、APIを介してアクセスできます。 2人は一種のDOS攻撃を実行し、ユーザレート制限を食い止めることができ、API以外のすべてのサードパーティ製アプリケーションではAPIを無用にする必要はありません。

消費者トークンを使用してTwitterのリソースを大幅に節約しているスパムファームを構築すると、キーを無効にしたりリセットしたりする可能性があります。その時点で、新しい鍵を取得して誰もが新しいバージョンに更新されるまで、コードのすべてのコピーが機能しなくなります。

これが明確でない場合は教えてください。