La identificación del cliente tiene que incluirse en una solicitud, por lo que el proveedor sabe que la solicitud vino de usted, como ya señaló @Matt Lacey. Normalmente, el proveedor también emite un secreto cliente secreto que también se incluye en la solicitud token de acceso, por lo que el proveedor puede verificar que su aplicación tenga permiso para usar esa identificación de cliente. Las extensiones de Chrome se ejecutan en una plataforma abierta y la plataforma en sí misma no proporciona ningún método para autenticar la extensión contra un servidor (que la fuerza de ventas también tendría que admitir) o almacenar propiedades de forma segura (sería difícil, si no imposible, en una plataforma abierta). plataforma abierta), por lo que mantener el secreto del cliente confidencial no es posible.
Como este es un problema común, ya se considera en la especificación OAuth (ver section 10.1 Client Authentication y 10.2 Client Impersonation). Por lo tanto, se requiere que el proveedor haga comprobaciones adicionales, pero del lado del cliente no puede hacer nada para mejorar la seguridad de manera efectiva.
Si desea obtener más información sobre cómo se manejará esto en dispositivos Android en el futuro, consulte mi respuesta here.
¿Qué quiere decir con "almacenarlo de manera segura"? ¿Algún acercamiento que tengas? Mi extensión va a ser pública. ¿Qué pasa si un hacker simplemente copia mi extensión y hace que el usuario la instale en lugar de la mía? –