我想编写一个使用GitLab API(https://github.com/gitlabhq/gitlabhq/tree/master/doc/api)的Chrome应用。为了使用API,用户需要她/他的私人令牌。成功通过API'/ session'登录后返回令牌。
Chrome应用是否有安全的方式存储敏感数据,例如来自GitLab的私人令牌?我可以使用chrome.storage吗?还是将令牌以明文形式存储到用户计算机?
答案 0 :(得分:1)
考虑使用WebCrypto API来实现令牌的加密,然后将密文存储在chrome.storage中。您将要求用户提供主密码来加密和解密令牌。每次启动应用程序时,您都会提示用户输入主密码,以避免将其存储在任何地方。
很可能,您每次都会厌倦输入主密码,并且会实施一个选项,将密码存储在chrome.storage中解锁的内容旁边,或者您将选择一个简短的密码。容易打字。在任何一种情况下,除了安全影院之外,系统的可用性将确保密码实际上没有任何用途。