Trello 토큰 보안 문제가 있습니까?

Question

나는 trello 보드에 장바구니를 보낼 응용 프로그램을 만들지 만, 사용자가 응용 프로그램을 받아들이 길 원치 않습니다. (대신 trello 계정이 있어야합니다.) 대신 다른 계정 ('슬레이브 계정')을 만들어서 제공하십시오. 내 보드에 읽기, 쓰기 권한을 부여하고 만료되지 않는 읽기, 쓰기 토큰을 생성하십시오. 내 웹 페이지에

나는 사용자가 내 코드를 확인하면 그가 내 "애플 리케이션 키"와 "토큰"을 볼 수 있습니다 ... core.js

https://api.trello.com/1/client.js?key=[appkey]&token=[token] 

모든 작동하지만이 포함됩니다.

제 질문은 :
1. 보안 문제입니까? 방문자가이 앱 키/토큰을 가져 와서 bord에 액세스 할 수 있습니까? (나는 그렇다고 믿는다.)
2. 페이지 방문자가 내 앱 키/토큰을 볼 수 없도록 코드를 어떻게 변경합니까? 그들은 당신이에 부여한 모든 권한 당신 같은 요청을 발행 할 수 있습니다, 키와 토큰 -

들으

Answer 1

당신이 사람들에게 가능한 토큰을 제작하는 경우, 다음 예,이 잠재적 인 보안 문제가 있습니다 토큰. 따라서 보드에 대한 쓰기 권한이있는 토큰을 만들려면 서버 측에서 해당 토큰을 유지하고 Javascript를 서버에 제출 한 다음 생성 한 토큰을 사용하여 Trello 사이트에 전달합니다 .

원하지 않는 토큰을 공개 할까 불안한 경우 계정 페이지 하단의 https://trello.com/your/account에서 무효화 할 수 있습니다. 설명을 위해