Nano Hash - криптовалюты, майнинг, программирование

Безопасное хранение токена Django REST API в расширении Chrome

Я делаю расширение Chrome, которое должно позволить пользователям вводить свое имя пользователя и пароль во всплывающем интерфейсе, отправлять их на сервер через AJAX и получать токен Django REST API, который расширение Chrome может использовать для взаимодействия с Django. приложение (получение информации о пользователе, создание новых записей и т. д., поэтому оно должно быть безопасным).

Прямо сейчас у меня есть расширение Chrome, которое отправляет запрос и получает токен API, но я борюсь с тем, как безопасно хранить токен API.

Я знаю, что chrome.storage отсутствует, потому что в документации говорится, что он небезопасен. Можно ли использовать файлы cookie здесь? Расширение должно работать на нескольких доменах, поэтому я не уверен, смогу ли я безопасно использовать файлы cookie.

Я бы не хотел, чтобы пользователь входил в систему каждый раз, когда он использует Chrome, но я не уверен, как хранить данные API.

python django javascript google-chrome google-chrome-extension
22.03.2017

Ответы:


1

Вам следует использовать chrome. личность:

Разработчики могут использовать API chrome.identity для хранения учетных данных пользователей. Расширение Chrome обычно отправляет API-запросы к внешним ресурсам. Лучше всего хранить токен API OAuth. Такие токены могут выполнять авторизованные запросы от имени пользователей без имен пользователей/паролей и могут быть отозваны пользователем в любое время.

Chrome API предоставляет службу chrome.identity, которая предоставляет расширению безопасный способ аутентификации, получения и обновления токенов. Этот API позволяет пользователю выполнять аутентификацию в сторонней службе. Chrome может интерактивно отображать всплывающий пользовательский интерфейс, который:

Вот официальная документация.

04.04.2019

2

Chrome не позволяет расширениям изменять/обрабатывать файлы cookie.

В документации говорится: используйте Chrome Identity API для аутентификации пользователей: getAuthToken для пользователей, вошедших в свою учетную запись Google, и launchWebAuthFlow для пользователей, вошедших в учетную запись, отличную от Google. Если ваше приложение использует собственный сервер для аутентификации пользователей, вам потребуется использовать последний

Документацию по учетным записям, не принадлежащим Google, можно найти здесь.

Вы можете хранить свой токен в локальном хранилище, доступном только вашему расширению, но имейте в виду, что он не зашифрован и его можно просмотреть с помощью инструментов разработки Chrome.

13.09.2020
Новые материалы
Кластеризация: более глубокий взгляд
Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
Как написать эффективное резюме
Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
Частный метод Python: улучшение инкапсуляции и безопасности
Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
Как я автоматизирую тестирование с помощью Jest
Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..