我确认chrome.identity API支持OAuth2隐式授权流程。也就是说,Chrome应用可以从隐式授权流返回的responseUrl回调参数中获取访问令牌,因为responseUrl将访问令牌字符串包含为URL片段。
但是,如果我想为我的Chrome应用程序使用OAuth授权代码授予流程,我认为存在安全问题。在这种情况下,responseUrl包括授权代码而不是访问令牌。我的Chrome应用必须通过调用API将授权代码更改为访问令牌。调用API时,需要客户端密钥字符串。结果,我必须在应用程序代码中编写客户端密钥字符串。我不想那样做。
是否存在使用chrome.identity API授权流程的安全方法?