Где хранить секрет клиента для веб-расширения?

Question

Я не совсем уверен, где хранить секрет клиента, используемый в потоке токенов обновления oauth.

Поскольку код веб-расширения выполняется на пользовательской машине, потенциально каждый может использовать мой секрет клиента, который аутентифицируетсямое расширение с другим сервисом ( Strava API ).

Я не вижу другого способа, кроме как сохранить его в фоновом скрипте.

Answer 1

Спрятать свой токен в файле или фоновом скрипте - это один вариант, а хранить его в другом месте (веб-сервис-оболочка) - это совсем другое.

В конце концов, решать вам.

ЕслиВы не хотите, чтобы люди могли видеть ваш токен, храните его в сервисе-обертке, который вы размещаете сами.Код этой службы может быть общедоступным, если вы не включите токен в публичную версию.

См. Также https://medium.com/poka-techblog/the-best-way-to-store-secrets-in-your-app-is-not-to-store-secrets-in-your-app-308a6807d3ed