Google chrome extension 在web扩展中安全地存储身份验证凭据

在web扩展中安全存储身份验证凭据的最佳做法是什么？e、 g.用户输入用户名和密码，扩展保存这些凭证，以便将来对API进行身份验证

目前，我一直在使用同步存储，但想知道它是否具有与浏览器中保存的密码相同的保护级别（例如，使用主密码加密）

或者，是否有方法在浏览器的密码存储中存储/检索登录详细信息（但显然无法检索任何其他密码）

---

如果存储API令牌而不是完整的登录凭据，上述任何答案是否会发生变化？

devtools debugger中的用户绝对可以检查扩展在客户端浏览器中存储或处理的所有内容。我不是试图混淆用户的意思，我是试图确保他们的数据得到正确保护。作为一个用户，我希望如果我添加一个主密码来加密我的登录详细信息，就不会有未加密的密码被存储。我还希望任何存储的密码都不会泄露给其他扩展或在网页中运行的脚本等。无论出于何种目的，用户都可以查看您在扩展内部临时解密的任何内容，即使您存储了加密值，但将其解密以供实际使用。至于其他扩展或网页，它们无法访问扩展的chrome.storage或chrome的任何DOM存储-extension://id/ 像弹出窗口或背景脚本这样的页面。但是，当用户在扩展页面上显式打开另一个扩展（请参阅存储区域资源管理器）时，它可以通过自己的devtools面板访问所有扩展。我建议您查看。但是，它目前似乎只在Chrome中可用。@wOxxOm再说一次，我不想对用户隐藏任何东西，因此用户是否可以查看它与讨论完全无关（我甚至提到用户正在将这些详细信息输入扩展..）。如果像我目前所做的那样使用存储是最佳实践，那就没问题了。但是，我仍然怀疑浏览器没有使用主密码对其进行加密。另外，您说另一个扩展无法访问存储，但又说存储区域资源管理器可以访问？我没有看到任何权限表明它可以访问它。