我想为 Chrome 开发一个 Twitter 客户端。我已经看到了 Chrome 现有 Twitter 扩展的 JS 文件。并发现他们的消费者密钥和秘密被暴露了。我相信这不是应该的方式。
我想分享我对服务器端的看法。该用户需要在我的网站上注册。在该网站上有 oAuth。我将保存他们的访问令牌。当他们安装我的 Chrome 扩展程序时。我会要求他们登录。每次他们发推文时,我都会在线获取他们的访问令牌并使他们的推文成为可能。
这样,我的钥匙将保持隐藏状态。我不想使用Chrome OAuth。
你认为我的 OAuth 服务器端实现比 JS 实现更好吗?
我认为不共享这些数据通常是一个更好的主意,但是在 Chrome 扩展程序中更难做到,因为它更多的是前端开发(除非你想为扩展程序维护自己的服务器......)。我认为暴露您的 OAuth 凭据不会有太大的风险。如果他们被恶意用来攻击 Twitter,Twitter 将阻止访问,您只需申请新密钥即可。您的用户密钥将安全地存储在他们自己的机器上,这样用户数据就可以了。如果您正在寻找一种在扩展中实现 OAuth2 协议的简单方法,这是我为此创建的实用程序。
https://github.com/jjNford/oauth2-chrome-extension
我在这个扩展中使用我自己的这个实现。