【问题标题】:Workaround for auth without OAuth/localStorage没有 OAuth/localStorage 的身份验证解决方法
【发布时间】:2013-12-10 05:35:31
【问题描述】:

我是 chrome 扩展开发的相对新手,我发现那里有很多源材料提到使用 OAuth 而不是 localStorage。我需要验证不提供 OAuth 的 API 的凭据。由于明显的安全风险,我也不想通过 localStorage 进行操作。还有其他可以遵循的最佳实践吗?


截至目前,我将客户引导至发生基本身份验证的主要网站。如果我按照这种方式,客户端每次都会通过网站登录,我不知道如何检查 ifLoggedIn() 状态,而不是通过虚拟请求访问域并检查是否返回 401。有没有办法解决这个问题?

【问题讨论】:

    标签: javascript oauth google-chrome-extension


    【解决方案1】:

    即使您使用 oauth,在 google 示例中,它仍然会将令牌保存在 localStorage 中。 Chrome 存储未加密,但访问它的唯一方法是访问机器(物理或通过恶意软件),在这种情况下您无能为力。即使它是加密的,恶意软件也可以反向 eng。因为密钥在客户端。 目前唯一的加密区域是 chrome.sync 但用户必须启用它,而且它对我来说似乎更危险。任何入侵您的 chrome 密码的人都可以从另一台机器登录 chrome 并接收加密的同步数据。更糟糕的是,它不需要恶意软件或对该特定设备进行物理访问。

    【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-01-13
    • 2015-02-02
    • 2019-06-18
    • 2013-05-31
    • 2018-07-10
    • 2011-09-17
    相关资源
    最近更新 更多