Mejores prácticas de inicio de sesión de extensión de Chrome

Question

Estoy creando una ventana emergente de extensión de Chrome y necesito iniciar sesión. Por ahora, haré mi propia autenticación con un nombre de usuario y una contraseña, pero ¿cuáles son las mejores prácticas dentro de una extensión?

Aquí están mis pensamientos:

• yo hago el inicio de sesión en un servidor remoto a través de un post.
• Obtenga una ficha que mantendré en el almacenamiento local por un período de tiempo.
• La ventana emergente debe tener también un registro en su interior

¿Es bueno para mantener todo dentro de la extensión? Aquí es donde quiero que estén mis usuarios, y no en algún sitio web para registrarse, etc.

¿El cambio de inicio de sesión a "página de inicio" o la página de registro, debe hacerse con la mensajería?

Answer 1

Siempre debe usar OAuth 2.0 para la autenticación dentro de las extensiones. Nunca pase el nombre de usuario/contraseña porque un atacante puede simplemente robar dicha información.

Un ejemplo de Chromium con respecto a OAuth en extensiones es Tutorial: OAuth.

Además, hay una API experimental disponible para OAuth 2.0, que se supone que hace que todo el proceso sea un poco más fácil. Hay una publicación completa en el blog, OAuth 2.0 from Chrome Extensions.