Comme l'API peut être utilisée pour accéder, interagir, modifier et supprimer les métadonnées sur Vimeo, les développeurs doivent respecter certaines bonnes pratiques lorsqu'ils travaillent avec leurs jetons d'authentification.
- Évitez de partager vos client_secret ou access_token en public ou par e-mail. Les membres du Staff Vimeo qui découvrent des jetons d'accès ou des clés secrètes client partagés en public peuvent révoquer ces références sur notre site sans en informer le propriétaire.
- Générez des jetons avec uniquement les cadres nécessaires à votre application. Le fait d'omettre les cadres inutiles peut aider à éviter tout abus potentiel si le jeton est utilisé par une partie indésirable.
- Supprimez les jetons dont vous n'avez plus besoin.
- Utilisez des jetons non authentifiés (client_credentials) ou des jetons destinés à un cadre public uniquement avec des applications côté client, où il peut être plus facile pour quelqu'un de découvrir votre jeton.
- Utilisez le flux de travail de création de jetons qui convient le mieux à votre cas d'utilisation. Certains flux de travail génèrent des jetons qui expirent, tandis que d'autres génèrent des jetons qui n'expirent jamais.
En général, votre jeton d'authentification doit être traité comme un mot de passe de compte ; ne le partagez jamais et gardez-le toujours dans un endroit sûr.