無OAuth/localStorage的身份驗證解決方法

Question

我是一個比較新手的擴展開發鉻，我發現有很多的源材料提到使用OAuth over localStorage。我需要驗證不提供OAuth的API的憑據。由於存在明顯的安全風險，我不想通過localStorage來完成。是否還有其他可以遵循的最佳做法？

---

截至目前，我正在引導客戶端進入基本身份驗證的主要網站。如果我遵循這種方式，客戶端每次都會通過網站登錄，而且我不知道如何通過虛擬請求訪問域並檢查是否返回401來檢查ifLoggedIn（）狀態。還有一些出路嗎？

Answer 1

即使您使用oauth，在google示例中它仍會將標記保存在localStorage中。 Chrome存儲空間未加密，但實現此目的的唯一方法是訪問計算機（物理或惡意軟件），在這種情況下，您無法做很多事情。即使它被加密，惡意軟件也可能會反轉eng。因爲密鑰在客戶端。 目前唯一的加密區域是chrome.sync，但用戶必須啓用它，加上它對我來說似乎更危險。任何侵入你的Chrome密碼的人都可以從另一臺機器登錄到Chrome並接收加密的同步數據。這更糟，因爲它不需要惡意軟件或物理訪問該特定設備。