Da die API verwendet werden kann, um auf Metadaten auf Vimeo zuzugreifen, mit ihnen zu interagieren, sie zu ändern und zu löschen, gibt es einige bewährte Methoden, die Entwickler bei der Arbeit mit ihren Authentifizierungs-Token beachten sollten.
- Vermeide die Weitergabe deines client_secret oder access_token in der Öffentlichkeit oder über E-Mail. Vimeo-Mitarbeiter, die in der Öffentlichkeit Access-Tokens oder Client Secrets entdecken, können diese Zugangsdaten in unserem Backend ohne Benachrichtigung des Eigentümers aufheben.
- Generiere Token nur mit den für deine Anwendung benötigten Bereichen. Das Weglassen unnötiger Geltungsbereiche kann dazu beitragen, potenziellen Missbrauch zu vermeiden, wenn das Token von einer jemand Unbefugtem verwendet wird.
- Token löschen, die nicht mehr benötigt werden.
- Verwende nicht authentifizierte (client_credentials) oder nur für den öffentlichen Bereich bestimmte Token mit clientseitigen Anwendungen, bei denen jemand einfacher dein Token entdecken kann.
- Verwende den Workflow zur Token-Erstellung, der deinem Anwendungsfall am besten entspricht. Einige Workflows erzeugen ablaufende Token, während andere Workflows Token erzeugen, die nie ablaufen.
Im Allgemeinen sollte dein Authentifizierungstoken wie ein Kontokennwort behandelt werden; gib es niemals weiter und bewahre es immer an einem sicheren Ort auf.