我正在创建一个 Chrome 扩展程序弹出窗口并需要登录。现在,我将使用用户名和密码进行自己的身份验证,但扩展中的最佳实践是什么?
这是我的想法:
- 我将使用帖子登录远程服务器。
- 取回一个令牌,我会将其保留在本地存储中一段时间。
- 弹出窗口中还应该有一个寄存器
将所有内容都保留在扩展中好吗?这就是我希望我的用户所在的位置,而不是在某些网站上注册等等。
从登录到“主页”或注册页面的更改,是否应该通过消息传递来完成?
你应该总是使用OAuth 2.0 http://en.wikipedia.org/wiki/OAuth#OAuth_2.0用于扩展内的身份验证。切勿传递用户名/密码,因为攻击者可以轻松窃取此类信息。
Chromium 中关于扩展中的 OAuth 的示例是教程:OAuth https://developer.chrome.com/extensions/tut_oauth.
此外,还有一个可用于 OAuth 2.0 的实验性 API,这应该会使整个过程变得更加容易。有一篇全面的博客文章,Chrome 扩展中的 OAuth 2.0 http://smus.com/oauth2-chrome-extensions.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)