我正在使用OpenTok .js API来构建Web应用程序。
TokBox的“安全最佳实践”文档(https://tokbox.com/developer/guides/security/#best-practices)说:“保持API密钥以及私有和安全的秘密”
我可以将API“秘密”保留在浏览器应用程序之外,但据我所知,API Key必须对浏览器可用,以便对OT.initSession()进行调用。
我是否缺少某些内容,或者TokBox文档只是误导了?
您是正确的,API密钥将按预期在客户端(浏览器,移动设备等)上可用。这不是问题,因为您需要API密钥和API秘密组合才能创建会话,生成令牌等。
出于安全考虑,您不应公开API密钥和API秘密的组合。