Discussion :

[tails]

Je compte utiliser l'api de Dropbox dans mon application android, mais je suis un peu embêté, en effet :

• Il faut fournir la clé privée de mon application dans le code
• de plus, j'ai fait le choix de rendre mon code open-source, et de le publier sur github

Ma question est donc la suivante :
est-ce catastrophique si la clé privée de mon application est visible ? (Il me semble que l'api s'appuit sur OAuth 2).

Merci d'avance

[Nico02]

Salut,

Oui ça peut être problématique en effet. Car au final tous les devs qui font utiliser ta clé dans leurs projet auront potentiellement accès aux comptes des utilisateurs d'autres devs. La zone d'administration Dropbox sera elle aussi commune entre tous les devs qui utilise la même clé (donc possibilité de révoquer des comptes utilisateurs qui ne sont pas les leurs par exemple). Bref c'est pas vraiment une bonne idée..

Le mieux c'est que tu externalises la clé dans un fichier par exemple. Comme ça les devs auront juste à renseigner leurs clé privé dans ce fichier. Le reste étant géré par ton appli.

Cdt.

[tails]

Bonjour

Merci pour ta réponse.

Donc, si j'ai bien compris, même si je suis le seul développeur de l'application, mon compte risque d'être révoqué si je laisse la clé privée en dur dans le code ?

Cordialement

[Nico02]

Non c'est pas ça, mais ton compte fait office de compte administrateur pour ton application. Mais le but de l'API Dropbox c'est de pouvoir piloter des comptes utilisateurs. Or pour accéder à ces comptes, tu dois fournir ta clé privé + le token que tu as reçus via OAuth lorsque l'utilisateur à donné l'autorisation à ton appli de pouvoir la piloter.

Mais si ton application est forké sur Git, le dev qui récupérera ta clé privé pourra potentiellement l'utiliser pour piloter les comptes utilisateurs dont toi tu es responsable dans ton appli (ou révoquer ton accès si ça lui chante, il peut tout faire).

Autant laisser ça dans un fichier externe. Comme ça si une personne veut utiliser ton appli pour ses propres besoins, il devra se créer un compte administrateur sur Dropbox et renseigner sa clé privé dans ce fichier pour ensuite pouvoir gérer ses propres comptes utilisateur. Ce qui de toute façon me parait bien plus logique

[Hizin]

Et juste ajout alakon : ce fichier en question n'est soit pas commit et dûment renseigné dans le readme.md, soit commit avec une valeur par défaut débile (avec potentiellement une p'tite prise en compte dans le code pour vérifier si ça a bien été modifié ).

[tails]

Merci à vous

Donc un moyen simple d'éviter que d'autres dev aient accès à mon compte administrateurs DropBox et révoquent des comptes dont j'ai la responsabilité via mon application :

• Lire la clé privée via un fichier texte externe
• Ne pas commiter ce fichier ou bien en commiter une version factice

Merci

[tails]

Je me demande par contre si les utilisateurs déterminés ne peuvent pas retrouver la clé privée en décompilant l'apk produit.
Je me demande aussi si, en utilisant malgré tout Proguard, que je ne connais pas vraiment, cela suffirait pour masquer les valeurs de mes clés publique et privée.