Вход в систему для получения OpenID id_token от расширения chrome кажется невозможным без предоставления его в URL-адресе и внесения в белый список / маршрутизации по протоколу https://, например, устарел https://asdfmychromextensionshaasdf.chromiumapp.org/
Это могло бы быть возможно с chrome.windows.create в режиме инкогнито, но нет способа внести в белый список расширение chrome в качестве сертифицированной конечной точки, что в некотором роде имеет смысл (?)
Поскольку политика cook ie недопустима и расширение chrome не имеет закрытых ключей, я не могу знать, что мое приложение отправляет id_token на мой сервер. Это могло быть перехвачено любыми расширениями прослушивания изменений табуляции.
Мой единственный обходной путь кажется, что я должен был бы разместить свой интерфейсный код на моем собственном сервере, а не использовать API расширения chrome. Я даже не думаю, что смогу использовать iframe во всплывающем окне моего браузера, которое обращается к моему приложению, поскольку опять же у меня нет способа проверить, является ли мое расширение прослушивающим window.postMessage или чем-то другим.
Не уверен, что это имеет смысл, но в конечном итоге я думаю, что интернет-магазину chrome необходимо предоставить некоторые средства аутентификации сервера (и поддерживать OpenID), а не просто предоставить хук идентификации для платных сервисов gapi.
Кто-нибудь знает о безопасном способе используя Вход изнутри chrome расширения?