Как безопасно идентифицировать расширение браузера

Question

У меня есть chrome extension, который разговаривает с серверным приложением через REST api (весна).

Я хочу, чтобы другие люди не разговаривали с REST api на сервере.

Обратите внимание, что само расширение является общедоступным, любой может использовать.

Answer 1

В принципе, нет пуленепробиваемого способа сделать это.

• Расширения Chrome являются клиентскими и снабжены отличным отладчиком. Любой секретный секрет между вашим API и расширением открыт для извлечения из работающего кода.
• В Chrome не включены никакие идентификационные заголовки для запросов на добавление, но даже если это возможно, вы можете выдавать себя за расширение путем репликации заголовков и/или захвата идентификатора расширения.

В то время как вы можете сделать жизнь трудной для людей, которые пытаются подражать тому, как ваше расширение запрашивает API, в конечном итоге его не так сложно захватить и воспроизвести.

Итак, обнимите идею, что вы cannot trust the client.

Один из способов приблизиться к этому - потребовать учетные записи пользователей и обеспечить соблюдение квот на этих учетных записях. Вы: можете создать и создать учетные записи на вашем конце.