sicura movimentazione di OAuth chiave e il segreto di Chrome Extensions e Gmail gadget

Question

vorrei ottenere alcune idee su di gestire correttamente Salesforce OAuth chiave e il segreto di Chrome Extensions e Gmail gadget. Le estensioni di Chrome sono essenzialmente javascript racchiuse in un formato compatibile con zip. Se ho bisogno di creare un'estensione che chiama le API Salesforce per conto dell'utente, devo incorporare l'app generata da Salesforce OAuth Consumer Key e Secret in Javascript per l'estensione. Ciò crea la possibilità di divulgazione di OAuth Consumer Key and Secret e di possibili usi impropri.

io sono curioso di sapere come altri sviluppatori stanno gestendo questi chiave utente OAuth e segreti in Chrome Extensions.

Google fornisce chiavi e segreti utente anonimi per le estensioni di Chrome che devono accedere alle API di Google. Tuttavia Salesforce non fornisce una configurazione OAuth simile. Si trova sulla roadmap per l'implementazione di Salesforce OAuth 2.0?

Answer 1

Ecco un paio di opzioni.

1) Eseguire un proxy attraverso il proprio server che protegge i segreti e limita i metodi consentiti attraverso il proprio API. Ciò consentirà anche di aggiornare le chiavi API in pochi istanti anziché i potenziali giorni per aggiornare un'estensione.

2) Offuscare i segreti nel codice estensione/gadget. Puoi renderlo difficile da trovare, ma con Chrome sarà facile scegliere le chiavi nella scheda di rete degli strumenti di sviluppo.

3) Di 'avvitare, lasciarli nel codice, e assicurarsi che nessun danno reale può essere fatto utilizzando i segreti.

Per quanto riguarda la roadmap di Salesforce, è probabile che dovrai chiedere loro e probabilmente non commenteranno.