我制作了一个成功运行的chrome扩展程序并完成了它的工作。 我需要保护扩展程序密码,并且有人只能将该应用程序与其Gmail用户和密码一起使用。
我有使用谷歌API客户端库进行谷歌身份验证的经验,可以在我的应用程序中实现它。但在这种情况下,所有谷歌用户都可以运行该应用程序。我考虑过存储一些文件,列出所有允许的用户电子邮件。但是,Chrome扩展程序可以编辑,因此任何对扩展程序开发有一点经验的人都可以查找和编辑该文件。
有什么建议吗?
答案 0 :(得分:2)
在我的计算机上的扩展程序上运行的代码是我的代码,而不是您的代码。我可以控制有关扩展执行的任何事情,包括更改磁盘上的代码并在chrome中重新加载扩展。
我可以打破你所提出的所有保护和防御措施。而且我也非常精通反混淆代码,所以不要考虑这样做。
在服务器上保留身份验证逻辑,更一般地说,在服务器上保留任何需要绝对控制的。如果我弄乱你的扩展程序看到红色背景而不是蓝色,你真的不在乎,如果我可以访问我不应该访问的东西,你会关心。