我不太确定在哪里存储在oauth刷新令牌流中使用的客户端密钥。
由于Web扩展的代码在用户计算机上运行,因此每个人都可能会使用我的客户端密码,该密码可通过另一项服务来验证我的扩展 (Strava API)。
除了将其保存在后台脚本中之外,我看不到其他任何方式。
答案 0 :(得分:1)
将令牌隐藏在文件或后台脚本中是一种选择,将令牌存储在另一个位置(包装web服务)是另一种选择。
最后取决于您。
如果您不希望别人看到您的令牌,请将其存储在您自己托管的包装服务中。只要您不在公开版本中包含令牌,该服务的代码就可以公开。