我正在构建Chrome扩展程序。我使用chrome.identity.getAuthToken来获取access_token。这为我提供了客户端(浏览器)的access_token。现在我想将此access_token传递给我的服务器。我想离线访问授权的API,我知道为此,我必须用long-live-token和refresh令牌进行交换。有没有一种安全的方法将access_token传递给服务器?或者我应该使用htttp post?
另一种方法是将用户重定向到服务器以使其具有流量。
什么是最好和最安全的做法?
答案 0 :(得分:1)
我认为服务器端流最好使用authorization_code流获取refresh_token。
使用客户端流程无法请求刷新令牌,Google会拒绝该请求消息 access_type离线,不允许使用响应类型令牌
一旦您在服务器中安全地获取访问令牌和刷新令牌,您就可以将其发送到chrome扩展,因此扩展不需要在维护令牌时执行任何额外的过程,一旦令牌过期,您可以请求服务器新访问令牌,然后服务器将使用刷新令牌刷新访问令牌并发送回扩展