Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Utiliser l'api Dropbox : gestion de la clé privée dans le code ?
Je compte utiliser l'api de Dropbox dans mon application android, mais je suis un peu embêté, en effet :
- Il faut fournir la clé privée de mon application dans le code
- de plus, j'ai fait le choix de rendre mon code open-source, et de le publier sur github
Ma question est donc la suivante :
est-ce catastrophique si la clé privée de mon application est visible ? (Il me semble que l'api s'appuit sur OAuth 2).
Merci d'avance
Ma page personnelle
Le livre de correction des exercices Java pour le guide "Programmation Java pour les enfants, les parents et les grand-parents"
Le tutoriel de découverte de Kotlin : 1 ère partie. Vous aurez alors accès aux 4 parties depuis cette page.
Développer un jeu simple avec Kotlin/TornadoFX/Gradle.
N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java. Mais aussi les ressources pour Kotlin.
Salut,
Oui ça peut être problématique en effet. Car au final tous les devs qui font utiliser ta clé dans leurs projet auront potentiellement accès aux comptes des utilisateurs d'autres devs. La zone d'administration Dropbox sera elle aussi commune entre tous les devs qui utilise la même clé (donc possibilité de révoquer des comptes utilisateurs qui ne sont pas les leurs par exemple). Bref c'est pas vraiment une bonne idée..
Le mieux c'est que tu externalises la clé dans un fichier par exemple. Comme ça les devs auront juste à renseigner leurs clé privé dans ce fichier. Le reste étant géré par ton appli.
Cdt.
Bonjour
Merci pour ta réponse.
Donc, si j'ai bien compris, même si je suis le seul développeur de l'application, mon compte risque d'être révoqué si je laisse la clé privée en dur dans le code ?
Cordialement
Ma page personnelle
Le livre de correction des exercices Java pour le guide "Programmation Java pour les enfants, les parents et les grand-parents"
Le tutoriel de découverte de Kotlin : 1 ère partie. Vous aurez alors accès aux 4 parties depuis cette page.
Développer un jeu simple avec Kotlin/TornadoFX/Gradle.
N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java. Mais aussi les ressources pour Kotlin.
Non c'est pas ça, mais ton compte fait office de compte administrateur pour ton application. Mais le but de l'API Dropbox c'est de pouvoir piloter des comptes utilisateurs. Or pour accéder à ces comptes, tu dois fournir ta clé privé + le token que tu as reçus via OAuth lorsque l'utilisateur à donné l'autorisation à ton appli de pouvoir la piloter.
Mais si ton application est forké sur Git, le dev qui récupérera ta clé privé pourra potentiellement l'utiliser pour piloter les comptes utilisateurs dont toi tu es responsable dans ton appli (ou révoquer ton accès si ça lui chante, il peut tout faire).
Autant laisser ça dans un fichier externe. Comme ça si une personne veut utiliser ton appli pour ses propres besoins, il devra se créer un compte administrateur sur Dropbox et renseigner sa clé privé dans ce fichier pour ensuite pouvoir gérer ses propres comptes utilisateur. Ce qui de toute façon me parait bien plus logique
Et juste ajout alakon : ce fichier en question n'est soit pas commit et dûment renseigné dans le readme.md, soit commit avec une valeur par défaut débile (avec potentiellement une p'tite prise en compte dans le code pour vérifier si ça a bien été modifié).
C'est Android, PAS Androïd, ou Androïde didiou !
Le premier est un OS, le second est la mauvaise orthographe du troisième, un mot français désignant un robot à forme humaine.
Membre du comité contre la phrase "ça marche PAS" en titre et/ou explication de problème.
N'oubliez pas de consulter les FAQ Android et les cours et tutoriels Android
J'ai compris
Merci à vous
Donc un moyen simple d'éviter que d'autres dev aient accès à mon compte administrateurs DropBox et révoquent des comptes dont j'ai la responsabilité via mon application :
- Lire la clé privée via un fichier texte externe
- Ne pas commiter ce fichier ou bien en commiter une version factice
Merci
Ma page personnelle
Le livre de correction des exercices Java pour le guide "Programmation Java pour les enfants, les parents et les grand-parents"
Le tutoriel de découverte de Kotlin : 1 ère partie. Vous aurez alors accès aux 4 parties depuis cette page.
Développer un jeu simple avec Kotlin/TornadoFX/Gradle.
N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java. Mais aussi les ressources pour Kotlin.
Répondre avec citation
Partager