我想编写一个使用 GitLab API ( https://github.com/gitlabhq/gitlabhq/tree/master/doc/api ) 的 Chrome 应用程序。为了使用 API,用户需要她/他的私有令牌。通过 API '/session' 成功登录后返回令牌。
Chrome 应用程序是否有一种安全的方式来存储敏感数据,例如来自 GitLab 的私有令牌?我可以为此使用 chrome.storage 还是将令牌以明文形式存储到用户计算机?
问问题
369 次
1 回答
2
考虑使用WebCrypto API来实现令牌的加密,然后将密文存储在 chrome.storage 中。您将要求用户提供主密码来加密和解密令牌。每次启动应用程序时,您都会提示用户输入主密码,以避免将其存储在任何地方。
很有可能,您会厌倦每次输入主密码,并实施一个选项,将密码存储在它在 chrome.storage 中解锁的内容旁边,或者您会选择一个简短且易于输入的密码. 在任何一种情况下,系统的可用性都将确保密码有效地发挥作用,除了安全剧院。
于 2013-08-15T03:02:07.653 回答