我目前有一个网络应用程序,通过"登录"实现自己的身份验证。 REST端点返回JWT,我想将其重复用于Chrome扩展程序的身份验证。
this question中接受的答案表明,在Chrome扩展程序中进行身份验证时,只应使用OAuth 2.0,否则攻击者可能会窃取用户名&密码。
我不确定如何在Chrome扩展程序中使用HTTPS POST请求,并将生成的JWT存储在扩展程序的localStorage中,比执行相同操作的网站更容易受到攻击。
我认为它确实是安全的(HTTPS POST并在localStorage中存储JWT),如果是的话,是否有任何最佳做法或常见的陷阱可以避免?
我发现的所有Chrome扩展程序身份验证参考仅涉及OAuth 2。
由于