我最近玩了一下 Discord 网关,现在我想在我的个人网站上打开一个网关连接,以便在打开我的 Discord 客户端时实时显示我的 Spotify 或游戏活动。
开发已全部完成,一切运行良好,但现在我想知道如何保护我的机器人令牌,这样就没有人可以抢到它。
我在 Netlify 上托管我的网站; - 我可以使用函数从环境变量中获取令牌,但令牌将在网络选项卡中可见。
我考虑过在函数中加密有效负载或抓取请求并随后在函数中添加有效负载,但我认为这是不可能的。
机器人通常只拥有一个通道中的状态更新和消息创建事件的权限,但我想更安全一点。
也许是 Oauth2,但我不希望用户为了一点点信息而必须进行额外的点击。
我希望你们中有人有额外的想法 - 或者这只是一个坏主意?
不要从前端直接向discord bot api 发出请求。 创建一个 /fetch 路由,并在调用 /fetch 时向后端的 discord bot api 发出请求,并在 /fetch 响应中返回 bot api 的响应。
这样您的机器人令牌就不会在前端的任何部分(这是用户唯一可见的部分)泄露。