Security 没有OAuth 2的Chrome扩展验证_Security_Authentication_Google Chrome Extension

Security 没有OAuth 2的Chrome扩展验证

security authentication google-chrome-extension

Security 没有OAuth 2的Chrome扩展验证,security,authentication,google-chrome-extension,Security,Authentication,Google Chrome Extension,我目前有一个web应用程序，它通过一个“登录”REST端点实现自己的身份验证，该端点返回一个JWT，我想将其重新用于我的Chrome扩展的身份验证中的公认答案建议在Chrome扩展中进行身份验证时只应使用OAuth 2.0，否则攻击者可能会窃取用户名和密码我不确定在chrome扩展中使用HTTPS POST请求并将生成的JWT存储在扩展的本地存储中会比做同样事情的网站更容易受到攻击我是否正确地假设这样做实际上是安全的（HTTPS POST&store JWT in localStorage

我目前有一个web应用程序，它通过一个“登录”REST端点实现自己的身份验证，该端点返回一个JWT，我想将其重新用于我的Chrome扩展的身份验证

中的公认答案建议在Chrome扩展中进行身份验证时只应使用OAuth 2.0，否则攻击者可能会窃取用户名和密码

我不确定在chrome扩展中使用HTTPS POST请求并将生成的JWT存储在扩展的本地存储中会比做同样事情的网站更容易受到攻击

我是否正确地假设这样做实际上是安全的（HTTPS POST&store JWT in localStorage），如果是，是否有任何最佳做法或常见陷阱可以避免

我找到的所有Chrome扩展验证引用都只讨论OAuth 2

谢谢

URL和来自扩展的XHR/fetch头可以被另一个扩展截获。我不确定chrome.identity API，但如果它在设计上不可拦截，我也不会感到惊讶（显然，你必须验证这个猜测）。感谢@wOxxOm的响应，但是如果你安装了一个可以恶意读取chrome扩展的XHR请求的扩展，难道它不能恶意读取普通网站的XHR请求吗？来自扩展的XHR/fetch的URL和标题可能会被另一个扩展截获。我不确定chrome.identity API，但如果它在设计上不可拦截，我也不会感到惊讶（显然，你必须验证这个猜测）。感谢@wOxxOm的响应，但是如果你安装了一个扩展，可以恶意读取chrome扩展的XHR请求，那么它也可以恶意读取普通网站的XHR请求吗？