我见过很多插件都是这样做的。但对于用户来说，为了使用插件，这显然是一个非常乏味的步骤。。。

这是正确的方法吗？

对

我是否应该以某种方式存储我的消费者API密钥；我的服务器上的机密详细信息？我的任何分布式插件都应该自动从我的服务器获取它？此外，消费者API密钥；与我的推特应用程序相关的秘密，打算与我的推特插件一起分发？

NO 所有这些。如果我能用比所有大写字母都大的字母，我会的。

原因有很多。

首先，作为使用Twitter API的插件的开发人员，您个人并不是API用户。这将是您插件的用户。允许插件用户使用API凭据将违反Twitter的政策。

此外，这只是一种不好的做法。您无法控制插件的最终用户以及他们最终如何使用服务。如果推特认定你的某个最终用户违反了使用条款，他们可能会吊销你的证书，那么你将陷入这样的境地。

你可能会认为这是不可能的，或者因为你只是在阅读，所以风险很低，但是如果有人决定修改插件本身，并且能够以一种违反推特条款的方式对API进行黑客攻击，那该怎么办？

换句话说，插件的单个最终用户可能会危及您和所有其他插件用户对API的使用。有一种可能性是，你某天早上醒来，打开你的电子邮件，发现你被大量的支持票淹没，询问为什么服务被关闭。

阅读developer policies carefully 并了解您提供的是一个使用推特API的产品。您没有提供到API的连接。

除此之外，它还取决于插件的分发方式。如果你计划使用wordpress。org repo distribution，在服务器上存储API密钥以供插件检索，可能被视为违反了repo的策略；给家里打电话"E；这是一个灰色区域，所以这取决于当时谁在做审查的意见，但为什么不从一开始就做好，避免潜在的麻烦呢？