En python j’ai l’habitude d’utiliser dotenv et .env avec les clefs dedans pour éviter que les clefs soient présentes sur les documents partagés/publiés.
Mais là dans une idée de token API à placer d’une custom widget, comment on peut faire pour éviter que la clef/token soit en clair ?
Bonjour @Antoine ,
Sujet complexe car très sensible au niveau sécurité.
Il n’y a malheureusement pas trop de solution hormis créer un backend proxy sur ton propre serveur. Mais la clé est toujours visible côté navigateur client.
Bref, ce n’est pas simple.
Merci @Isaytoo .
On va creuser la question.
Pour reformuler: dans la construction d’une custom-widget, on interroge une API externe qui nécessite une authentification, afin d’utiliser les données dans GRIST (on parle ici de l’instance GRIST souveraine ministérielle). Or, pour l’instant, nous n’arrivons pas à « cacher » la clef d’authentification dans le code HTML de la custom-widget. Pour que cette dernière fonctionne, il nous faut, pour l’instant, inscrire en clair dans l’HTML, la clef. Ce que nous aimerions arriver à faire: que cette clef ne soit plus en clair dans l’HTML, et que son accès soit protégé (ou non publié).
