【问题标题】:How to safely store JSON Web Token in Chrome Extension for further API use?如何在 Chrome 扩展中安全地存储 JSON Web 令牌以供进一步 API 使用?
【发布时间】:2018-12-04 21:35:20
【问题描述】:

我已经查看了所有内容,但找不到确定的方法来在 Chrome 扩展程序中安全地存储 API 的 JWT。

我的应用程序允许用户通过 HTTPS 连接登录到他们的第 3 方帐户,然后返回一个令牌以用于进一步的 API 请求。

var credentials = {
  "email": username,
  "password": password
};

$http({
  method: 'POST',
  url: 'https://api/login',
  data: credentials,
  headers: {
    'Content-Type': 'application/json'
  }
}).then(function successCallback(response) {
   // Token provided here
})

然后将令牌存储在 Chrome 扩展中以用于后续 API 调用的最佳和最安全的方法是什么?

Chrome 文档说 LocalStorage 和 Session Storage 不安全。

我不希望用户每次打开 Chrome 扩展程序时都必须登录。

非常感谢任何帮助。 谢谢

【问题讨论】:

  • “安全地”或“安全地”是没有精确技术含义的流行词。存储在浏览器中的任何内容都不安全,因为您的扩展程序及其数据以及浏览器代码和数据可能会被获得本地访问权限(或通过 RCE 错误)的人检查和滥用。
  • 你是怎么做到的?
  • @Notflip 我没有。存储人们的代币感觉不够安全。我不能 100% 确定安全的方式。

标签: javascript google-chrome google-chrome-extension jwt token


【解决方案1】:

我想说的是,您也可以使用 Google Chrome 的存储 API 来执行此操作。与 localStorage 不同,它也可以从内容脚本中访问。 您无法访问内容脚本中的 localstorage.getitem(token), 溶胶:chrome.storage.local.set/get

【讨论】:

  • 正如目前所写,您的答案尚不清楚。请edit 添加其他详细信息,以帮助其他人了解这如何解决所提出的问题。你可以找到更多关于如何写好答案的信息in the help center
猜你喜欢
  • 2017-08-15
  • 2021-12-03
  • 1970-01-01
  • 2019-02-20
  • 2016-06-09
  • 2020-06-29
  • 1970-01-01
  • 2015-09-19
  • 2018-07-21
相关资源
最近更新 更多