如何安全地识别浏览器扩展名

时间:2016-06-17 11:22:19

标签: authentication google-chrome-extension restful-authentication

我有一个chrome extension通过REST api(基于spring)与服务器应用程序通信。

我想阻止其他人与服务器上的REST api交谈。

注意,扩展本身是公开的,任何人都可以使用。

1 个答案:

答案 0 :(得分:1)

基本上,没有防弹的方法。

  • Chrome扩展程序是客户端的,并提供了出色的调试程序。您的API和扩展程序之间的任何类型的共享密钥都是打开的,可以从正在运行的代码中提取。
  • Chrome不会在扩展请求中包含任何标识标头,但即使这样做,也可以通过复制标头和/或劫持扩展ID来模拟扩展。

虽然您可以为那些试图模仿您的扩展程序查询API的人们带来生活困难,但最终它并不难以捕获和复制。

所以,接受你cannot trust the client的想法。

解决此问题的一种方法是要求用户帐户,并对这些帐户强制实施配额。您可以控制帐户创建和权限。

相关问题
最新问题