<div dir="ltr"><div>Hi,<br><br>I rapidly browse the sources of <span style class="">signedrequest</span> and, if I understand well, there is a secret token that have to be shared between the user and the server. <br><br>Can this secret token be compared to a kind of second password to use only in the context of <span style class="">signedrequest</span> ? If yes, does it mean that a user who want to access to an instance via both a web interface and a script based on <span style class="">signedrequest</span>/<span style class="">rqlcontroller</span> will have to manage a password and a secret token ?<br>


<br>How would you recommend to manage the secret token of a user (who creates it ? how it is exchanged between user and server ?) ?<br><br></div><div class="gmail_extra">      <span style class="">Yann</span><br></div></div>