Najnowsze dobre praktyki dotyczące logowania do rozszerzenia Chrome

Question

Tworzę wyskakujące okno rozszerzenia Chrome i muszę się zalogować. Na razie dokonam własnego uwierzytelnienia przy użyciu nazwy użytkownika i hasła, ale jakie są najlepsze praktyki w ramach rozszerzenia?

Oto moje myśli:

• uczynię logowania na zdalnym serwerze za posta.
• Odzyskaj token, który przechowuję w lokalnej pamięci przez pewien czas.
• popup powinny mieć również rejestr wewnątrz to

Czy to dobrze, aby utrzymać to wszystko w środku rozszerzenia? To tutaj chcę, aby moi użytkownicy byli, a nie w niektórych witrynach, aby się zarejestrować i tak dalej.

Zmiana z logowania na "stronę główną" lub stronę rejestracji, czy należy to zrobić z wiadomościami?

Answer 1

Należy zawsze używać OAuth 2.0 do uwierzytelniania w ramach rozszerzeń. Nigdy nie podawaj nazwy użytkownika/hasła, ponieważ osoba atakująca może po prostu ukraść takie informacje.

Przykład z Chromium dotyczący OAuth w rozszerzeniach to Tutorial: OAuth.

Dodatkowo dostępny jest eksperymentalny interfejs API dla OAuth 2.0, który ma ułatwić cały proces. Istnieje obszerny wpis na blogu: OAuth 2.0 from Chrome Extensions.