Best Practices für die Anmeldung bei Chrome-Erweiterungen

Question

Ich erstelle ein Popup für eine Chrome-Erweiterung und benötige ein Login. Im Moment werde ich meine eigene Authentifizierung mit einem Benutzernamen und einem Passwort vornehmen, aber was sind die besten Praktiken innerhalb einer Erweiterung?

Hier sind meine Gedanken:

• Ich werde die Anmeldung bei einem entfernten Server über eine Post vornehmen.
• Ich erhalte eine Wertmarke zurück, die ich für eine bestimmte Zeit lokal aufbewahren werde.
• Das Popup sollte auch ein Register enthalten

Ist es gut, alles in der Verlängerung aufzubewahren? Ich möchte, dass meine Nutzer dort sind und nicht auf einer Website, um sich zu registrieren und so weiter.

Soll der Wechsel von der Anmeldung zur "Startseite" oder zur Registrierungsseite mit einer Benachrichtigung erfolgen?

Answer 1

Sie sollten immer Folgendes verwenden OAuth 2.0 für die Authentifizierung innerhalb von Erweiterungen. Übergeben Sie niemals den Benutzernamen und das Kennwort, da ein Angreifer diese Informationen einfach stehlen kann.

Ein Beispiel von Chromium bezüglich OAuth in Erweiterungen ist _Anleitung: OAuth_ .

Darüber hinaus gibt es eine experimentelle API für OAuth 2.0, die den gesamten Prozess ein wenig vereinfachen soll. Dazu gibt es einen ausführlichen Blog-Beitrag, OAuth 2.0 von Chrome-Erweiterungen .