我正在创建Chrome扩展程序,我计划使用OAuth2客户端流程进行身份验证。根据谷歌和脸书的规格,当我使用客户端流程时,我获取访问令牌作为redirect_uri的哈希部分的一部分。现在我的问题是这个 - >如果恶意扩展将该访问令牌转移到某个其他计算机上的另一个扩展,然后使用该访问令牌获取用户详细信息,该怎么办?我对web开发和ouath都很新手,如果有人能为我澄清这个疑问,我会很感激
答案 0 :(得分:2)
Chrome扩展程序已为沙盒设置,并且其他扩展程序无法访问您的扩展程序中保存的数据。
答案 1 :(得分:1)
Facebook OAuth2实施要求您使用SSL(https),这意味着其他人无法看到该令牌,除非您在浏览器本身之外明确地将其提供给他们(或使用邪恶的插件,如上所述)。
这里有关于此主题的精彩帖子:http://www.sociallipstick.com/?p=239
答案 2 :(得分:1)
是的,Chrome扩展程序可以嗅探您的密码,OAuth令牌等,如果用户选择安装它们并授予他们执行此操作的权限。您必须小心选择安装哪些扩展程序!