2010-10-13 12 views
2

Je travaille sur une extension Google Chrome qui touche notre API pour faire une recherche et liste les résultats. Nous aimerions que l'extension ait des privilèges API élevés (c'est-à-dire qu'elle ait accès aux données d'un utilisateur normal, et ne dispose pas de la limite habituelle 200/demandes par jour), mais nous ne savons pas comment sécuriser la clé API utilisée par l'extension. Un utilisateur peut facilement utiliser les outils de développement inclus dans chrome pour afficher la source d'extension (puisqu'il ne s'agit que de HTML, CSS et javascript) ou regarder les demandes d'API à mesure qu'elles sont faites et en extraire la clé API.Comment sécuriser une clé API dans une extension Google Chrome?

Quelqu'un at-il une idée de la façon dont nous pouvons sécuriser une clé API dans une extension chrome? J'ai parcouru la documentation de l'extension google chrome pour voir s'il y a quelque chose qui puisse nous aider mais je n'ai rien trouvé.

Merci!

+0

Pourquoi l'extension est-elle autorisée à faire ce qu'un utilisateur normal ne peut pas faire? – SLaks

Répondre

2

Si votre extension peut envoyer des demandes à votre serveur, n'importe quel utilisateur peut utiliser Fiddler pour examiner les demandes et usurper l'identité de l'extension.

Vous ne pouvez rien y faire.