6

Chrome 拡張機能と Gmail ガジェットで Salesforce OAuth コンシューマ キーとシークレットを適切に処理するためのアイデアをいくつか得たいと思います。Chrome 拡張機能は、基本的に Javascript を zip 互換の形式にまとめたものです。ユーザーに代わって Salesforce API を呼び出す拡張機能を作成する必要がある場合は、Salesforce が生成したアプリ OAuth コンシューマー キーとシークレットを拡張機能の Javascript に埋め込む必要があります。これにより、OAuth コンシューマ キーとシークレットが開示され、悪用される可能性が生じます。

他の開発者が Chrome 拡張機能でこれらの OAuth コンシューマ キーとシークレットをどのように処理しているかに興味があります。

Google は、Google API にアクセスする必要がある Chrome 拡張機能用の匿名のコンシューマー キーとシークレットを提供します。ただし、Salesforce は同様の OAuth セットアップを提供していません。これは Salesforce OAuth 2.0 実装のロードマップですか?

4

1 に答える 1

6

ここにいくつかのオプションがあります。

1) シークレットを保護し、独自の API を介して許可されるメソッドを制限する独自のサーバーを介してプロキシを実行します。これにより、拡張機能の更新に数日かかる可能性があるのではなく、API キーを瞬時に更新することもできます。

2) 拡張機能/ガジェット コードのシークレットを難読化します。見つけにくくすることもできますが、Chrome を使用すると、開発ツールの [ネットワーク] タブでキーを簡単に見つけることができます。

3) それをねじ込み、コードに残して、秘密を使用して実際の損傷が発生しないことを確認します。

Salesforce のロードマップについては、おそらく彼らに尋ねる必要がありますが、彼らはおそらくコメントしません。

于 2012-02-08T04:57:23.573 に答える