Firebase API密钥限制允许Chrome扩展

时间:2018-12-30 08:27:23

标签: firebase google-chrome-extension

我已经开发了一个使用Firebase身份验证和实时数据库的网站。我已将Firebase API密钥访问权限限制为仅对我的服务器(HTTP引荐来源网址-'https://projectname.firebaseapp.com/')。但是现在我也想允许我的chrome扩展程序访问它。

2 个答案:

答案 0 :(得分:0)

找到了解决方法-

将其添加到HTTP引荐来源网址有效-'chrome-extension:// yourextensionid /'。

欢迎使用更好或更安全的解决方案!

答案 1 :(得分:0)

⚠️Spoiler坏消息: Access-Control-Allow-Origin 标头不能作为Chrome扩展程序的安全措施。

您可以做的是创建一个自定义身份验证系统(例如JWT或您可以用storage api存储的任何内容)。否则,您可以发送error code(未经授权或不可用)。这可能完全在后台发生。您可以设置此握手并存储密钥。您只需要确保这种身份验证要求它来自浏览器即可,并且能够验证签名以确保您的令牌未在其他地方(例如curl或其他服务器)使用。 JWT可能是恕我直言的最佳解决方案。

GLHF!