APIはVimeoのメタデータへのアクセス、操作、変更、削除に使用できるため、デベロッパが認証トークンを操作する際に行うべきいくつかのベストプラクティスがあります。
- client_secret または access_tokenを公開または電子メールで共有しないでください。公開されているアクセストークンまたはクライアントシークレットを発見したVimeoスタッフメンバーは、所有者に通知することなく、バックエンドでこれらの資格情報を取り消すことができます。
- アプリケーションに必要なスコープのみでトークンを生成します。不要なスコープを省略すると、トークンが不審なグループによって使用された場合に、悪用される可能性を回避できます。
- 不要になったトークンを削除します。
- 認証されていない(client_credentials)またはpublic-scope-onlyのトークンをクライアント側のアプリケーションで使用します。この場合、あなたのトークンが見つかりやすくなります。
- 自分の事例に最適なトークン作成ワークフローを使用しましょう。一部のワークフローは期限切れトークンを生成しますが、他のワークフローは期限切れにならないトークンを生成します。
一般的に、認証トークンはアカウントパスワードと同じく扱う必要があります。決して共有せず、常に安全な場所に保管してください。