不要相信浏览器,请采取措施验证用户。因此,在这种情况下,您可能会要求您输入用于与服务器通信的密码。
您的Google扩展程序很简单,要求您在输入密码之后才会尝试使用AJAX与您的服务器通信。
请注意,您应该建立保护自己免受暴力攻击的手段。因此,如果密码错误密码超过一定数量,请锁定所有内容等。
您也可以考虑使用密码来简单地解密XHR的目的地,但如果你走这条路线,应该非常仔细地存储这个,因为这将是强力离线。
编辑 试图锁定的API,因此只有一个应用程序可以使用它是不实际也不技术上是可行的,所以你只能这样做的希望是使用API,对用户进行认证,无论他正在使用的访问软件。您可以让用户签署一份协议,该协议在法律上仅限于您的扩展,但我怀疑这会在很大程度上无法执行,并会耗费您的时间来追踪滥用者。
如果您不希望未经授权的人员知道API在哪里,您可以使用带外机制执行身份验证:通过电话,电子邮件,短信或简单的另一个API来授予用户请求API的密码或令牌必须附带。
在此带外过程中,您还可以授予用户唯一的URI(API访问点),该URI仅在每个已认证的会话中有效(例如,https://api.totally-cool-extension.com/api/ijyeDvB5dYvSiWG97OLuTAoNWwbhuZ0/)。对其他URI的任何请求都不起作用。但是,这在理论上与使用相同API访问点并且密码不错有很大不同。它只会改变您的架构中执行身份验证和/或授权检查的地点数量。
<aside>
我的投票是将授权/认证点的数量尽可能减少,这样您就可以花更多时间在正确的位置获得一个位置,而不是有多个位置,并且可能存在多个逻辑缺陷或其他事物可能会导致漏洞。 </aside>
您还可以探索使用公钥基础结构和/或一次性密码方案或基于设备的令牌生成器等,但最终您会允许经过身份验证和授权的用户使用您的API。而且,由于互联网的缘故,这不会长久以来是一个未公开的URI。
而且,更重要的是,它不会阻止某人单独使用数据。即使采取了所有这些措施,授权用户在将数据流式传输到您的分机时收集这些数据也是微不足道的。或者,如果您采用点对点加密,他们可能会在您的代码中屏幕废弃或使用某种形式的JS内省,甚至从计算机内存中提取数据。
我知道你在这里寻找银弹,但它不存在。
您在铬扩展中公开api - 并且您不希望扩展的其他用户使用它?那么api的含义是什么? – madflow
你可以使用谷歌身份验证API来识别你的用户,并存储一些东西在你身边,以确保用户有权利。看到这个谷歌文档; http://developer.chrome.com/apps/app_identity.html – happy
@madflow,如果我希望我的API只能被授权人使用,那该怎么办? – dav