我正在参加 Ubuntu App Showdown,我的作品将利用第三方 Web 服务,这些服务使用 OAuth 向客户发布受保护的数据。鉴于规则规定应用程序必须是开源的,我想知道是否可以对包含 OAuth 机密的单个文件进行豁免,这样它们就不会被免费分发。
分布式 OAuth 密钥的风险在于它们与特定应用绑定,因此服务可以判断哪个应用正在向哪个用户请求哪些数据。如果这些密钥被公开,恶意人士将可以模仿来自合法应用的请求,从而导致该应用因使用被盗凭证实施的任何不当行为而受到指责。
如果法官们愿意的话,我愿意私下向他们提供证书文件。
鉴于软件中心提交的内容一般要求是开源的,也许可以在提交政策中做出这样的豁免。
答案1
根据您要使用的 Web 服务,答案是以下之一:
1)你不能
如果服务绝对要求您完全保护令牌机密,那么桌面应用程序就没那么幸运了。即使是闭源应用程序的二进制文件也可能被检查或在 HTTP 请求期间被内存转储。如果 Web 服务强制执行如此严格的规则,那么他们要么脱离现实,要么只希望 Web 应用程序使用他们的 API。
2)混淆视听
如果你不保密,某些网络服务是可以容忍的立即地可用。只需使用简单的可逆混淆方案,不需要关闭源代码。
3)根本不保护
您可以看到这里Google 就是一个典型例子,它认识到,对于桌面应用来说,全面保护机密信息是一场必败之战。对于这些应用,你可以把密钥放在开源中,然后高高兴兴地使用。
因此我建议您联系服务支持并询问您属于哪种情况。