Bezpieczne postępowanie z kluczem klienta i tajną kluczem OAuth w rozszerzeniach Chrome i gadżetach Gmaila

Question

Chciałbym przedstawić kilka pomysłów na prawidłowe posługiwanie się kluczem i kluczem klienta usługi Outer w usłudze Salesforce w rozszerzeniach Chrome i gadżetach Gmaila. Rozszerzenia Chrome to w zasadzie Javascript zawinięty w format zgodny zip. Jeśli potrzebuję zbudować rozszerzenie, które wywołuje interfejsy API Salesforce w imieniu użytkownika, muszę osadzić wygenerowany przez Salesforce klucz konsumencki aplikacji OAuth i klucz tajny w JavaScript dla tego rozszerzenia. Stwarza to możliwość ujawnienia klucza klienta i tajnego klucza OAuth oraz ewentualnego niewłaściwego użycia.

Ciekawi mnie, jak inni deweloperzy obsługują te klucze i tajemnice klienta OAuth w rozszerzeniach Chrome.

Google udostępnia anonimowe klucze i tajemnice klientów dla rozszerzeń przeglądarki Chrome, które muszą uzyskać dostęp do interfejsów Google API. Jednak Salesforce nie zapewnia podobnej konfiguracji OAuth. Czy jest to plan wdrożenia implementacji OAuth 2.0 w Salesforce?

Answer 1

Oto kilka opcji.

1) Uruchom proxy za pomocą własnego serwera, który chroni sekrety i ogranicza dozwolone metody za pośrednictwem własnego interfejsu API. Umożliwi to również aktualizację kluczy API w kilka chwil, zamiast potencjalnych dni na aktualizację rozszerzenia.

2) Rozwikłać tajemnice w kodzie rozszerzenia/gadżetu. Możesz utrudnić znalezienie, ale w Chrome będzie można łatwo wybrać klucze na karcie sieci narzędzi deweloperskich.

3) Powiedz, zakręć, pozostaw je w kodzie i upewnij się, że nie można wykonać prawdziwych obrażeń za pomocą sekretów.

Jeśli chodzi o mapę drogową Salesforce, najprawdopodobniej będziesz musiał ich zapytać i prawdopodobnie nie będą komentować.