我有一个Chrome扩展程序,用户可以通过Chrome应用程序类型的Google oAuth对自己进行身份验证。然后,它会检查应用内付款信息,并从我的网站调用网络服务。在我的网站上,我使用类型网络应用程序的oAuth让我的用户只注册Google电子邮件。
因为,chrome扩展程序是可以欺骗的javascripts,我想以某种方式确保在我的Web服务被调用时,它确实来自声称它的人。因为oAuth发生在两个不同的客户端ID而没有合并的可能性,我想问是否可以有任何替代方法来确保在扩展中经过身份验证的人确实是调用Web服务的人。
答案 0 :(得分:0)
在Chrome扩展程序中为用户获取访问令牌后,将其发送到您的服务器(通过HTTPS)。让服务器向使用该访问令牌进行身份验证的Google发出API请求,以获取用户的电子邮件/ ID。然后,您可以知道该用户是谁,并且您可以为自己的站点生成访问令牌,以返回到Chrome扩展程序以供进一步使用。