Dado que la API puede utilizarse para acceder a metadatos en Vimeo, interactuar con estos, y modificarlos y eliminarlos, existen algunas prácticas recomendadas que los desarrolladores deberían seguir cuando trabajen con sus tokens de autenticación.
- Evita compartir tu client_secret o access_token en público o por correo electrónico. Los miembros del personal de Vimeo que descubran los tokens de acceso o los secretos de clientes en público pueden revocar esas credenciales en nuestro backend sin avisar al propietario.
- Genera tokens solo con los ámbitos necesarios para tu aplicación. La omisión de ámbitos innecesarios puede ayudar a evitar cualquier posible mal uso si la ficha es utilizada por una persona no deseada.
- Borra los tokens que ya no son necesarios.
- Utiliza tokens no autenticados (client_credentials) o solo de ámbito público con aplicaciones del lado del cliente donde pueda ser más fácil que alguien descubra tu token.
- Usa el flujo de trabajo de creación de tokens que mejor se adapte a tu caso de uso. Algunos flujos de trabajo generan fichas con tokens con fecha de vencimiento, mientras que otros generan tokens que nunca caducan.
En general, tu token de autenticación debe ser tratado como una contraseña de cuenta; nunca lo compartas, y siempre mantenlo en un lugar seguro.