我的 chrome 扩展和服务器之间的身份验证策略

Authentication strategy between my chome extension and server

我正在构建 Google Chrome 扩展,并且对如何在应用程序中实现安全性有一些疑问。

我需要访问几个 Google API,因此我将为此使用 OAuth 2.0。所以基本上从扩展我知道哪个用户登录到浏览器。

然后我的扩展程序需要获取 post 数据到我的 (nodejs) API 服务。我想确保请求数据的用户与登录浏览器的用户相同。有什么方法可以使用之前的 Google 身份验证过程来验证扩展和我的 API 之间的通信吗?我真的不希望用户必须再次登录才能访问我的 API.

我确定我遗漏了一些简单的东西,而且我找不到适合这种情况的任何东西

如果用户已经登录并且您使用的是 Web 应用程序流程(不是 chrome.identity API),则用户不必登录身份验证流程,但用户至少会在第一时间看到同意屏幕.但是,如果您通过提供 &login_hint= 参数知道电子邮件地址,则可以跳过帐户选择器屏幕。

关注 OpenID Connect auth flow and you will get an access_token and an id_token。 acess_token 您将用来像往常一样向 Google API 发出经过身份验证的请求。 id_token 将用作向您的服务器请求的身份验证。

当请求到达您的服务器时,您需要 validate the token and you can then use the contents of the id_token to identify the user