我是Chrome的扩展开发的新手,我发现有很多源材料提到OAuth在localStorage上的使用。我需要验证不提供OAuth的API的凭据。由于明显的安全风险,我不想通过localStorage这样做。是否还有其他可以遵循的最佳做法?
截至目前,我正在将客户端引导至Basic Auth发生的主网站。如果我按照这种方式,客户端将每次登录网站,我不知道如何检查ifLoggedIn()状态,除了通过虚拟请求访问域并检查是否返回401。还有一些出路吗?
答案 0 :(得分:0)
即使你使用oauth,在google示例中它仍然会将标记保存在localStorage中。 Chrome存储空间未加密,但获取该存储空间的唯一方法是访问计算机(物理或恶意软件),在这种情况下,您无法做多少工作。即使它是加密的,恶意软件也可能会逆转。因为密钥在客户端。 目前唯一的加密区域是chrome.sync,但是用户必须启用它,而且对我来说似乎更危险。任何侵入您的Chrome密码的人都可以从另一台计算机登录Chrome并接收加密的同步数据。这更糟糕,因为它不需要恶意软件或物理访问该特定设备。