【问题标题】:Allow Chrome extension to access RESTAPI允许 Chrome 扩展程序访问 REST API
【发布时间】:2020-11-16 14:12:19
【问题描述】:

我正在构建一个 chrome 扩展和 Rest API。现在我正处于连接它们的阶段,但我有一些安全问题。

扩展程序应该调用 API 来获取一些数据。 此数据并非特定于用户。

那么,如何确保我的 API 只能从 Chrome 扩展程序调用?

我正在考虑添加一些特定的标题,但这不会专门解决问题。

我已经开始研究允许第三方应用访问 API 的 OAuth2,但我不知道从哪里开始。

【问题讨论】:

  • 设计良好的 API 应要求对所请求的任何数据进行身份验证,即使不是特定于用户。
  • 同意,我知道如何限制 API 访问特定 IP 或域。但是对于 chrome 扩展,它是不同的,因为它在用户设备上,您不能使用此选项限制访问。这就是为什么我在寻找别的东西
  • 看来我们在谈论不同的事情。 IP/域限制与身份验证无关。

标签: javascript node.js google-chrome-extension oauth-2.0 authorization


【解决方案1】:

你不能。

扩展程序在用户的浏览器中运行。

用户的浏览器完全在用户的控制之下。

用户可以检查他们的浏览器发出的任何 HTTP 请求(包括那些执行 OAuth 的请求)。

可以使用其他工具复制这些 HTTP 请求。

【讨论】:

    【解决方案2】:

    简单地说,这是不可能的,因为无法确保网络链接的另一端是您的应用程序。 最终用户可以完全访问您的应用程序,您可以使用用户身份验证来确保只有有效用户才能使用您的应用程序。

    【讨论】:

      猜你喜欢
      • 2021-12-31
      • 2013-05-20
      • 1970-01-01
      • 2012-06-14
      • 2014-08-19
      • 2013-12-08
      • 2020-04-14
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多