【问题标题】:Chrome extension using client_secret in code在代码中使用 client_secret 的 Chrome 扩展
【发布时间】:2016-09-30 01:31:40
【问题描述】:

我正在开发具有自己的 oAuth 授权的 Google chrome 扩展程序。当然,我必须使用 client_id 和 client_secret 作为请求令牌。 有什么办法可以向用户隐藏这些数据?由于此请求只是 javascript 中源代码的一部分,我不知道如何防止读取此数据。 感谢您的回答。

【问题讨论】:

标签: javascript google-chrome-extension oauth


【解决方案1】:

使用OAuth 2.0 for Installed Applications 描述为:

Google OAuth 2.0 端点支持安装在计算机、手机或平板电脑等设备上的应用程序。已安装的应用程序被分发到各个机器上,假设这些应用程序无法保密。当用户在应用中或应用在后台运行时,这些应用可能会访问 Google API。

注意:从 Developers Console 获得的客户端 ID 和客户端密码嵌入在您的应用程序的源代码中。在这种情况下,客户端机密显然不被视为机密。

基于这些描述,“在服务提供者和应用程序之间没有建立消费者密钥/秘密。也就是说,在批准过程之后,没有用户可以重定向到的 Web 应用程序 URL。在已安装的应用程序中OAuth 舞蹈,消费者密钥/秘密是“匿名”/“匿名”,并且您为用户提供应用程序名称以授予访问权限(而不是应用程序 URL)”。

教程 link 用于正确实施 OAuth。

希望对你有帮助

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2015-07-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多