Безопасная обработка ключа и секретности пользователя OAuth в расширениях Chrome и гаджетах Gmail

Question

Я хотел бы получить некоторые идеи относительно правильной обработки ключа и секретности клиента Salesforce OAuth в расширениях Chrome и Gmail. Расширения Chrome - это, по сути, Javascript, завернутый в zip-совместимый формат. Если мне нужно создать расширение, которое вызывает API Salesforce от имени пользователя, я должен вставить в расширение Javascript сгенерированный Salesforce потребительский ключ OAuth и секретный ключ в Javascript. Это создает возможность раскрытия ключа и секретности пользователя OAuth и возможного неправильного использования.

Мне любопытно, как другие разработчики обращаются с этими ключами и секретами пользователя OAuth в расширениях Chrome.

Google предоставляет анонимные потребительские ключи и секреты для Chrome Extensions, которым необходимо получить доступ к API Google. Однако Salesforce не обеспечивает аналогичную настройку OAuth. Это в дорожной карте для реализации Salesforce OAuth 2.0?

Answer 1

Вот несколько вариантов.

1) Запустите прокси-сервер через свой собственный сервер, который защищает секреты и ограничивает допустимые методы с помощью вашего собственного API. Это также позволит вам обновить ключи API в считанные минуты вместо потенциальных дней для обновления расширения.

2) Обфускание секретов кода расширения/гаджета. Вы можете затруднить поиск, но с помощью Chrome вам будет легко выбрать ключи на вкладке «Инструменты разработчика».

3) Скажите, закрутите его, оставьте их в коде и убедитесь, что фактические повреждения не могут быть сделаны с использованием секретов.

Что касается дорожной карты Salesforce, вам, вероятно, придется спросить их, и они, вероятно, не будут комментировать.