Chrome擴展程序登錄最佳做法

Question

我正在創建Chrome擴展程序彈出窗口並需要登錄。現在，我將使用用戶名和密碼進行自己的身份驗證，但擴展中的最佳做法是什麼？

這裏是我的想法：

• 我會反對使用後的遠程服務器的登錄。
• 取回令牌，我將保留在本地存儲中一段時間​​。
• 彈出也應該有一個寄存器裏面

它是很好的保持它所有擴展裏面？這是我希望我的用戶成爲的地方，而不是在某些網站上註冊等。

從登錄到「主頁」或註冊頁面的更改是否應該通過消息傳遞完成？

Answer 1

您應該始終使用OAuth 2.0進行擴展認證。切勿傳遞用戶名/密碼，因爲攻擊者可以竊取這些信息。

來自Chromium的關於擴展中的OAuth的示例是Tutorial: OAuth。

此外，還有一個可用於OAuth 2.0的實驗性API，可以讓整個過程變得更加簡單。有一個全面的博客文章，OAuth 2.0 from Chrome Extensions。