Безопасная обработка OAuth-ключа и секретного ключа в расширениях Chrome и гаджетах Gmail

Question

Я хотел бы получить некоторые идеи для правильной работы с потребительским ключом и секретом Salesforce OAuth в расширениях Chrome и гаджетах Gmail. Расширения Chrome - это, по сути, Javascript, упакованный в zip-совместимый формат. Если мне нужно создать расширение, которое вызывает API-интерфейсы Salesforce от имени пользователя, я должен встроить сгенерированный Salesforce ключ и секретный ключ OAuth-приложения в Javascript для расширения. Это создает возможность раскрытия ключа и секретного ключа OAuth и возможного неправильного использования.

Мне интересно, как другие разработчики обрабатывают эти потребительские ключи OAuth и секреты в расширениях Chrome.

Google предоставляет анонимные потребительские ключи и секреты для расширений Chrome, которым требуется доступ к API Google. Однако Salesforce не предоставляет аналогичную настройку OAuth. Это входит в план реализации Salesforce OAuth 2.0?

Answer 1

Вот несколько вариантов.

1) Запустите прокси через ваш собственный сервер, который защищает секреты и ограничивает разрешенные методы через ваш собственный API. Это также позволит вам обновлять ключи API за несколько секунд, а не за потенциальные дни для обновления расширения.

2) Запутать секреты в коде расширения / гаджета. Вы можете затруднить его поиск, но с помощью Chrome будет легко выбрать ключи на вкладке сети инструментов разработчика.

3) Скажи винт, оставь их в коде и убедись, что с помощью секретов невозможно нанести реальный ущерб.

Что касается дорожной карты Salesforce, вам, вероятно, придется спросить их, и они, вероятно, не будут комментировать.