在JS中實現OAuth並揭示Consumer Secret和Key很好嗎？

Question

我想開發一個適用於Chrome的Twitter客戶端。我看到了Chrome的現有twitter擴展的JS文件。並發現他們的消費者的關鍵和祕密是暴露的。我相信這不是它應該的方式。

我想分享我的看法是服務器端。該用戶需要在我的網站上註冊。在這個網上有oAuth。我會保存他們的訪問令牌。當他們安裝我的Chrome擴展。我會要求他們登錄。每當他們發佈推文時，我都會在網上獲取他們的訪問令牌，併發布推文。

這樣，我的鑰匙將繼續隱藏。我不想使用Chrome OAuth。

你覺得我的服務器端實現的OAuth比JS implementaion更好？

Answer 1

我想不會分享這些數據是在一般一個好主意，但是這是很難在一個Chrome擴展做的，因爲它是更前端開發（除非你想保持對擴展自己的服務器？ ）。我認爲公開您的OAuth憑證的風險並不高。如果他們被惡意用來攻擊Twitter，Twitter將阻止訪問，您可以申請新的密鑰。您的用戶密鑰將被安全地存儲在他們自己的機器上，以便用戶數據可以正常使用。如果您正在尋找一種在擴展中實現OAuth2協議的簡單方法，那麼這裏是我爲此創建的一個實用程序。

https://github.com/jjNford/oauth2-chrome-extension

我用這個實現我自己的this extension。