Chrome拡張機能のログインのベストプラクティス

Question

Chrome拡張機能のポップアップを作成しています。ログインが必要です。今のところ、ユーザー名とパスワードで自分の認証を行いますが、内線内のベストプラクティスは何ですか？ここで

が私の考えです：

• 私はポストを使用してリモートサーバーに対してログインを行います。
• 時間をかけてローカルストレージに保管するトークンを取得します。
• ポップアップも、その内部レジスタを持っている必要があり

それは延長の内側にそれをすべてを保つために良いですか？これが私のユーザを登録したいサイトです。

ログインから「ホームページ」または登録ページへの変更は、メッセージングで行う必要がありますか？

Answer 1

拡張内の認証には常にOAuth 2.0を使用する必要があります。攻撃者がそのような情報を単に盗むことができるので、ユーザ名/パスワードを渡さないでください。

拡張子のOAuthに関するChromiumの例は、Tutorial: OAuthです。

さらに、OAuth 2.0には実験的なAPIが用意されています。このAPIは、プロセス全体をやや簡単にするためのものです。包括的なブログ記事、OAuth 2.0 from Chrome Extensionsがあります。