Javascript 为chrome扩展创建登录安全性

我正在创建一个chrome扩展，我想为它添加一些安全方法。比如说，如果它在chrome网络商店上，有人下载了它，我希望弹出一个HTML，要求用户发送电子邮件和令牌

我希望能够自动生成代币并通过电子邮件发送给某人，因此如果有人想使用我的chrome扩展，我必须通过电子邮件向他们发送特殊代币。然后他们输入他们注册的电子邮件和我发送的令牌

我希望令牌是为每个用户定制的，因此它不能作为一种安全系统与其他人共享，以防止它被分发

当用户正确输入电子邮件和令牌后，他将通过登录屏幕，他们现在可以自由使用chrome扩展。电子邮件和令牌只能使用一次，因此此人不能与其他人共享电子邮件和令牌

我想要类似的东西

---

我该如何建造这个？非常感谢您的帮助。

您是否要求不安装web服务器？因为Web服务器上的身份验证系统可以针对特定用户进行定制，然后为所有用户发送相同的“解锁”令牌，从而激活扩展的完整功能集。扩展被构建为在锁定状态下启动。我认为，不应该因为HTTPS而泄露来自MITM攻击的令牌。我能想到的另一个选择是在GoogleAuth中使用相同时间的密钥共享技术，在这里，您可以为用户提供对时间敏感的密码以进行永久激活。这是你想去的方向吗？你不能只是在客户端做。你能做的只是弹出到你的网站。。。它可能在URL中包含某种键，以便与Google Play上的销售交易相匹配。我不知道他们能为你提供什么。然后，您的网站将使用它记录数据库条目并。。。然后。。。我建议从你的网站上快速下载并安装“脚本缺失部分”所有这些，只是说，你必须寻找谷歌游戏提供什么。你当然不是第一个提出要求的人StakOverflow不是那种解决方案的地方我想要在chrome网上商店上有一个类似于CopBot的东西-----这两个视频几乎就是我想要实现的@snugghash，我也有一个网站，如果这是实现类似的事情所必需的话。该视频似乎表明了这个流程：在某处生成令牌（通常是一些后端，可能是获取用户注册/付款的网站服务器），通过电子邮件发送令牌，在扩展中获取电子邮件+令牌，向Web服务器发出请求以验证其有效性。这看起来像是一个典型的身份验证流，只是密码现在是令牌，由用户生成而不是设置。在其他新闻中，我有更多的想法（扩展端prng和共享种子，可以检查令牌是否在X代内，例如），如果您感兴趣，我可能会发布一些答案作为完整的解决方案。是的，我非常感谢您的帮助谢谢@抽大麻