我想为Chrome开发一个Twitter客户端。我已经看过Chrome的现有Twitter扩展的JS文件。并发现他们的消费者关键和秘密暴露无遗。我相信这不应该是它的方式。
我想分享我的意见,即服务器端。该用户需要在我的网站上注册。在网络上有oAuth。我将保存他们的访问权限。当他们安装我的Chrome扩展程序时。我会要求他们登录。每当他们发推文时,我都会在网上获取他们的访问权限,并使他们的推文成为可能。
通过这种方式,我的密钥将保持隐藏状态。我不想使用Chrome OAuth。
你认为OAuth的服务器端实现比JS实现更好吗?
答案 0 :(得分:0)
我认为不共享这些数据通常是一个更好的主意,但是在Chrome扩展程序中更难做到,因为它更多的是前端开发(除非你想为扩展程序维护自己的服务器......) 。我认为暴露您的OAuth凭据的风险并不大。如果它们被恶意用于攻击Twitter,Twitter将阻止访问,您只需申请新密钥即可。您的用户密钥将安全地存储在自己的计算机上,以便用户数据可以正常使用。如果您正在寻找在扩展中实现OAuth2协议的简单方法,这里是我为此创建的实用程序。
https://github.com/jjNford/oauth2-chrome-extension
我在this extension中使用此实现。