【发布时间】:2018-12-04 21:35:20
【问题描述】:
我已经查看了所有内容,但找不到确定的方法来在 Chrome 扩展程序中安全地存储 API 的 JWT。
我的应用程序允许用户通过 HTTPS 连接登录到他们的第 3 方帐户,然后返回一个令牌以用于进一步的 API 请求。
var credentials = {
"email": username,
"password": password
};
$http({
method: 'POST',
url: 'https://api/login',
data: credentials,
headers: {
'Content-Type': 'application/json'
}
}).then(function successCallback(response) {
// Token provided here
})
然后将令牌存储在 Chrome 扩展中以用于后续 API 调用的最佳和最安全的方法是什么?
Chrome 文档说 LocalStorage 和 Session Storage 不安全。
我不希望用户每次打开 Chrome 扩展程序时都必须登录。
非常感谢任何帮助。 谢谢
【问题讨论】:
-
“安全地”或“安全地”是没有精确技术含义的流行词。存储在浏览器中的任何内容都不安全,因为您的扩展程序及其数据以及浏览器代码和数据可能会被获得本地访问权限(或通过 RCE 错误)的人检查和滥用。
-
你是怎么做到的?
-
@Notflip 我没有。存储人们的代币感觉不够安全。我不能 100% 确定安全的方式。
标签: javascript google-chrome google-chrome-extension jwt token