OpenTok / ToxBox: держать в секрете ключ API?

Question

Я использую OpenTok. js API для создания веб-приложения.

TokBox "Рекомендации по безопасности" выполняют c (https://tokbox.com/developer/guides/security/#best -практики ) говорит: «Держите ключ API и секретный секретный и безопасный»

Я могу сохранить «секретный» API из приложения браузера, но, насколько я могу судить, API Ключ имеет быть доступным для браузера, чтобы совершать вызовы OT.initSession ().

Я что-то упустил или документация TokBox просто вводит в заблуждение?

Answer 1

Manik здесь от команды OpenTok.

Вы правы, ключ API будет доступен на стороне клиента (браузер, мобильное устройство и т. Д. c), как и ожидалось. Это не проблема, потому что вам нужна комбинация API Key & API Secret, чтобы иметь возможность создавать сеансы, генерировать токены и т. Д. c.

В целях безопасности не следует раскрывать комбинацию API Key и API Secret.