Chrome扩展程序登录最佳做法

Question

我正在创建Chrome扩展程序弹出窗口并需要登录。现在，我将使用用户名和密码进行自己的身份验证，但扩展中的最佳做法是什么？

这里是我的想法：

• 我会反对使用后的远程服务器的登录。
• 取回令牌，我将保留在本地存储中一段时间​​。
• 弹出也应该有一个寄存器里面

它是很好的保持它所有扩展里面？这是我希望我的用户成为的地方，而不是在某些网站上注册等。

从登录到“主页”或注册页面的更改是否应该通过消息传递完成？

Answer 1

您应该始终使用OAuth 2.0进行扩展认证。切勿传递用户名/密码，因为攻击者可以窃取这些信息。

来自Chromium的关于扩展中的OAuth的示例是Tutorial: OAuth。

此外，还有一个可用于OAuth 2.0的实验性API，可以让整个过程变得更加简单。有一个全面的博客文章，OAuth 2.0 from Chrome Extensions。