Como a API pode ser usada para acessar, interagir com, modificar e excluir metadados no Vimeo, existem algumas práticas recomendadas que os desenvolvedores devem seguir ao trabalhar com seus tokens de autenticação.
- Evite compartilhar seu client_secret ou access_token em público ou por e-mail. Os membros do Vimeo Staff que descobrirem tokens de acesso ou segredos de cliente em público podem revogar essas credenciais no nosso back-end sem aviso prévio ao proprietário.
- Gere tokens com apenas os escopos necessários para sua aplicação. Omitir escopos desnecessários pode ajudar a evitar qualquer possível uso indevido se o token for usado de forma indesejada por terceiros.
- Exclua tokens que não são mais necessários.
- Use tokens não autenticados (client_credentials) ou somente de escopo público com aplicativos do lado do cliente onde pode ser mais fácil para alguém descobrir seu token.
- Use o fluxo de trabalho de criação de token que melhor se adapte ao seu caso de uso. Alguns fluxos de trabalho geram tokens que expiram, enquanto outros fluxos de trabalho geram tokens que nunca expiram.
Em geral, seu token de autenticação deve ser tratado como uma senha da conta; nunca o compartilhe e sempre o mantenha em algum lugar seguro.