Google chrome extension 在JS中实现OAuth并公开用户机密和密钥是否好？

我想为Chrome开发一个Twitter客户端。我看过Chrome现有twitter扩展的JS文件。并发现他们的消费者密钥和秘密被泄露。我相信这不是应该的方式

我想分享我对服务器端的看法。那个用户需要在我的网站上注册。在那个网络上有oAuth。我将保存他们的访问令牌。当他们安装我的Chrome扩展时。我会让他们登录。每次他们发tweet时，我都会在线获取他们的访问令牌，让他们的tweet成为可能

这样，我的钥匙就会一直隐藏起来。我不想用

---

你认为我的OAuth服务器端实现比JS实现好吗？

我认为不共享这些数据通常是一个更好的主意，但是在Chrome扩展中更难实现，因为它更像是前端开发（除非你想为扩展维护自己的服务器…）。我认为公开您的OAuth凭据不会有太大风险。如果它们被恶意用于攻击Twitter，Twitter将阻止访问，您只需申请新密钥即可。您的用户密钥将安全地存储在他们自己的机器上，这样用户数据就可以了。如果您正在寻找一种在扩展中实现OAuth2协议的简单方法，这里有一个我为此创建的实用程序

---

我自己使用这个实现。

如果Chrome OAuth lib运气不好，我会考虑服务器端解决方案。如果我成功地将其用于Twitter，我将尝试一下你的库。@TahirAkram很酷，你可能需要添加一点内容以使其适应twitters API，但一般来说它应该可以工作。我在扩展GitHub存储库中使用它，如果您想了解我是如何操作的，它也托管在我的GitHub帐户上。如果你让它在twitter上运行，可以在OAuth repo中创建一个新的分支。。。因为如果你停止维护它。。。您的扩展死了…对于服务器端也有一些好处。我会考虑谷歌App Engine。