6

我想获得一些想法,以正确处理 Chrome 扩展和 Gmail 小工具中的 Salesforce OAuth 消费者密钥和秘密。Chrome 扩展本质上是以 zip 兼容格式包装的 Javascript。如果我需要构建一个代表用户调用 Salesforce API 的扩展程序,我必须将 Salesforce 生成的应用程序 OAuth Consumer Key 和 Secret 嵌入到扩展程序的 Javascript 中。这会产生泄露 OAuth 消费者密钥和秘密的可能性,以及可能的滥用。

我很好奇其他开发人员如何在 Chrome 扩展中处理这些 OAuth 消费者密钥和秘密。

Google 为需要访问 Google API 的 Chrome 扩展程序提供匿名消费者密钥和秘密。但是 Salesforce 不提供类似的 OAuth 设置。这是否在 Salesforce OAuth 2.0 实施的路线图上?

4

1 回答 1

6

这里有几个选项。

1)通过您自己的服务器运行一个代理,保护秘密并通过您自己的 API 限制允许的方法。这也将允许您立即更新 API 密钥,而不是在可能的几天内更新扩展。

2) 混淆扩展/小工具代码中的秘密。您可能很难找到它,但使用 Chrome 可以很容易地在开发工具网络选项卡中挑选出密钥。

3) 说完,把它们留在代码中,并确保使用这些秘密不会造成实际损害。

至于 Salesforce 的路线图,您可能不得不询问他们,他们可能不会发表评论。

于 2012-02-08T04:57:23.573 回答