我想了解一下如何正确处理Chrome扩展程序和Gmail小工具中的Salesforce OAuth使用者密钥和密钥。 Chrome扩展程序本质上是以兼容zip的格式包装的Javascript。如果我需要构建一个代表用户调用Salesforce API的扩展,我必须在Javascript中嵌入Salesforce生成的App OAuth Consumer Key和Secret作为扩展。这样就可能会泄露OAuth使用者密钥和密钥,以及可能的误用。
我很好奇其他开发者如何在Chrome扩展程序中处理这些OAuth Consumer Key和Secrets。
Google为需要访问Google API的Chrome扩展程序提供匿名消费者密钥和密钥。但是,Salesforce不提供类似的OAuth设置。这是Salesforce OAuth 2.0实施的路线图吗?
答案 0 :(得分:5)
以下是几个选项。
1)通过您自己的服务器运行代理,保护秘密并通过您自己的API限制允许的方法。这样您还可以在短时间内更新API密钥,而不是更新扩展程序的潜在日期。
2)模糊扩展/小工具代码中的秘密。您可以很难找到,但使用Chrome可以很容易地在开发工具网络标签中选择密钥。
3)说一下它,把它们留在代码中,并确保使用这些秘密不会造成任何实际损害。
至于Salesforce的路线图,您可能不得不问他们,他们可能不会发表评论。