Способ хранения конфиденциальных данных на диске без (серьезного) страха перед вмешательством пользователя?

Question

Я пишу приложение, которое подключается к твиттеру и использует OAuth API, моя проблема с хранением ключа consumer_key и consumer_key_secret

Как я могу безопасно хранить эти значения, чтобы пользователю было сложно получить к ним доступ, но при этом они могут использоваться в моем приложении?

До сих пор я хранил их в pyc и шифровал их как предложения, но я открыт для любых других идей.

Answer 1

Альтернативой DRM (которую вы описываете) является прокси защищенного взаимодействия через серверное приложение на вашем собственном контролируемом компьютере. Поскольку вы используете OAuth, вы можете использовать те же учетные данные для аутентификации на своем собственном сервере, что и при подключении напрямую к Twitter.

Преимущество этого подхода состоит в том, что нет раскрытия закрытого ключа; вы не делитесь своим закрытым ключом с вашими потребителями, поскольку он хранится на удаленном сервере, который они не могут прочитать, и ваши потребители не делятся своими паролями с вами (вместо этого они получают токен OAuth, который связывает этот конкретный логин с вашим конкретный сервис).

Answer 2

Прошу прощения, если что-то упустил, но что не так с xAuth ?Это кажется идеальным вариантом использования для этого.Ваше приложение будет использовать (и, следовательно, хранить) ключ потребителя (oauth_consumer_key), и в этом нет никакого способа: у вас должно быть что-то, что уникально идентифицирует ваше приложение.Вы получаете учетные данные от пользователя, передаете их и получаете обратно oauth_token и oauth_token_secret, чтобы позволить вам совершать звонки от имени пользователя.