将 API 密钥和机密放入我的 Firefox 插件中

Putting API key and secret in my Firefox addon

我正在开发一个 Firefox 插件,我想与一些使用 oauth 进行身份验证的第三方服务集成。因此,我有一个 API 密钥和秘密,我需要用它来与他们的 API 通信。如果我要在插件的源代码中包含我的 API 密钥和秘密,人们(插件的用户等)是否能够找出密钥和秘密? SDK 中是否有某种机制可以在插件中存储机密?

我在概念证明中使用的另一种方法是,我要求用户生成密钥和密码并将其输入到设置中。这有效,但不是很用户友好。

编辑:

澄清一下,作为对评论的回应,我并不是要将秘密隐藏在源代码之外,我是在寻找一种方法来在我的插件中使用我自己的秘密并将它们保密给 public。所以他们会被运送给每个使用我的插件的人。

If I were to include my API key and secret in the source code of the addon, would people (users of the addon, etc) be able to figure the key and secret out? Is there some mechanism in the SDK to store secrets in addons?

您问的是是否可以让对计算机具有完全控制权的用户无法访问数据,但可以让软件 运行 在该用户具有完全控制权的同一台计算机上访问数据。

没有

The alternative, that I used in my proof of concept, is that I ask the user to generate a key and secret and enter those into the settings. This works, but isn't very user friendly.

然后自动化该过程以使其更加用户友好?