【发布时间】:2020-11-16 14:12:19
【问题描述】:
我正在构建一个 chrome 扩展和 Rest API。现在我正处于连接它们的阶段,但我有一些安全问题。
扩展程序应该调用 API 来获取一些数据。 此数据并非特定于用户。
那么,如何确保我的 API 只能从 Chrome 扩展程序调用?
我正在考虑添加一些特定的标题,但这不会专门解决问题。
我已经开始研究允许第三方应用访问 API 的 OAuth2,但我不知道从哪里开始。
【问题讨论】:
-
设计良好的 API 应要求对所请求的任何数据进行身份验证,即使不是特定于用户。
-
同意,我知道如何限制 API 访问特定 IP 或域。但是对于 chrome 扩展,它是不同的,因为它在用户设备上,您不能使用此选项限制访问。这就是为什么我在寻找别的东西
-
看来我们在谈论不同的事情。 IP/域限制与身份验证无关。
标签: javascript node.js google-chrome-extension oauth-2.0 authorization