GitLab API ( https://github.com/gitlabhq/gitlabhq/tree/master/doc/api )を使用する Chrome アプリを作成したいと考えています。API を使用するには、ユーザーは自分のプライベート トークンが必要です。トークンは、API '/session' 経由でログインが成功した後に返されます。
Chrome アプリが GitLab のプライベート トークンのような機密データを安全に保存する方法はありますか? これに chrome.storage を使用できますか、それともトークンはクリア テキストでユーザーのコンピューターに保存されますか?
WebCrypto APIを使用してトークンの暗号化を実装し、暗号文を chrome.storage に保存することを検討してください。トークンを暗号化および復号化するためのマスター パスワードをユーザーに提供するように求めます。アプリを起動するたびに、ユーザーにマスター パスワードの入力を求めるプロンプトが表示され、マスター パスワードをどこにも保存する必要がなくなります。
おそらく、マスター パスワードを毎回入力するのにうんざりし、chrome.storage でロックを解除したもののすぐ隣にパスワードを保存するオプションを実装するか、短くて入力しやすいパスワードを選択するでしょう。 . どちらの場合でも、システムの使いやすさにより、パスワードはセキュリティ シアター以外には実質的に何の役にも立たないことが保証されます。