Как использовать RequestValidator с API-ключом?

Question

Как использовать RequestValidator с API-ключом?

Я пытаюсь совместить советы Twilio и лучшие практики безопасности.

Изначально я написал приложение, используя SID и токен авторизации.

https://www.twilio.com/docs/usage/rest-api-best-practices говорит:

"мы рекомендуем использовать ключи API"

Итак, я конвертирую клиент поддержки python для инициализации с использованием ключа / секрета api

и поскольку это аутентификация через веб-перехватчик, следуя этой практике безопасности:https://www.twilio.com/docs/usage/security#validating-requests

Использование:https://www.twilio.com/docs/usage/tutorials/how-to-secure-your-flask-app-by-validating-incoming-twilio-requests

Однако это только похоже на поддержку auth_token

Означает ли это, что в приложении веб-перехватчика невозможно использовать ключи API?

Кажется глупым возиться с секретами ключей API в конфигурации приложения, если мне также нужно установить секрет auth_token.

2

twilio twilio-api twilio-python

Источник

user76199 23 ноя '20 в 22:11

1 ответ

Другие вопросы по тегам twilio twilio-api twilio-python

user6742086 04 дек '20 в 01:38 2020-12-04 01:38 · Answer 1 · 2020-12-04 01:38

Сотрудник Twilio здесь

Похоже, вы заметили несоответствие в наших рекомендациях. Вы правы: если ваше приложение получает входящие веб-перехватчики от Twilio и вы хотите проверить подпись этих входящих запросов, вы не можете использовать ключи API для этого - вы должны использовать токен аутентификации своей учетной записи.

Я просто первый документ, на который вы связались, поэтому он отражает это руководство. Спасибо, что подняли этот вопрос, и мои извинения за несоответствие в наших документах!