Chrome拡張機能とGmailガジェットのOAuthコンシューマーキーと秘密の安全な取り扱い

Question

Chrome拡張機能とGmailガジェットでSalesforce OAuthコンシューマーキーとシークレットを正しく処理するためのアイデアをご希望です。 Chromeの拡張機能は、基本的にはZip互換フォーマットでラップされたJavascriptです。ユーザーに代わってSalesforce APIを呼び出す拡張機能を構築する必要がある場合は、拡張機能としてSalesforceが生成したApp OAuthコンシューマーキーとシークレットをJavascriptに埋め込む必要があります。これにより、OAuthコンシューマーキーとシークレットの開示の可能性、および誤用の可能性が生じます。

他のデベロッパーがChrome拡張機能でこれらのOAuthコンシューマーキーと秘密をどのように処理しているのか不思議です。

Googleは、Google APIにアクセスする必要があるChrome拡張機能の匿名の消費者キーと秘密を提供しています。しかし、Salesforceは同様のOAuth設定を提供していません。これはSalesforce OAuth 2.0実装のロードマップにありますか？

Answer 1

ここにいくつかのオプションがあります。

1）秘密を保護する独自のサーバーを介してプロキシを実行し、許可されたメソッドを自分のAPIで制限します。これにより、拡張機能を更新する可能性のある日数ではなく、瞬時にAPIキーを更新することもできます。

2）拡張機能/ガジェットコードの秘密を難読化します。あなたは見つけるのが難しくなるかもしれませんが、Chromeでは開発ツールのネットワークタブでキーを選ぶのは簡単です。

3）それをねじで締めてコードに残して、秘密を使って実際の損傷を起こさないようにします。

Salesforceのロードマップについては、おそらくそれを聞かなくてはいけないと言えるでしょう。