Sel*_*M A 7 oauth salesforce google-chrome-extension oauth-2.0 salesforce-chatter
我正在构建一个chrome扩展,它将与salesforce-chatter api进行交互.但对于使用oAuth(用户代理流)身份验证的用户,我需要将我的客户端密钥嵌入到我的扩展中.
这会导致任何安全问题吗?或者有没有办法使用oAuth而不在我的扩展中嵌入客户端ID?
该客户端ID必须被纳入到一个请求,让供应商知道该请求来自于你,因为@马特莱西已经指出.通常,提供程序还会发出一个机密客户机密钥,该秘密会另外包含在访问令牌请求中,因此提供程序可以验证您的应用程序是否可以使用该客户机ID.
Chrome扩展程序在开放平台上运行,并且平台本身不提供任何方法来对服务器进行身份验证(salesforce随后也必须支持)或安全地存储属性(在开放平台上即使不是不可能也很难),所以不幸的是,保密客户机密.
由于这是一个常见问题,因此在OAuth规范中已经考虑过它(请参阅10.1客户端身份验证和10.2客户端模拟一节).因此,提供商需要进行额外的检查,但在客户端,您无法采取任何措施来有效提高安全性.
如果您想更深入地了解将来如何在Android设备上处理此问题,请在此处查看我的答案.
| 归档时间: |
|
| 查看次数: |
1484 次 |
| 最近记录: |