oauth - Incrustar Id de cliente en la extensión de Chrome

La identificación del cliente debe incluirse en una solicitud, por lo que el proveedor sabe que la solicitud proviene de usted, como ya señaló @Matt Lacey. Normalmente, el proveedor también emite un secreto de cliente confidencial que también se incluye en la solicitud de token de acceso , por lo que el proveedor puede verificar que su aplicación tenga permiso para usar esa identificación de cliente .

Las extensiones de Chrome se ejecutan en una plataforma abierta y la plataforma no proporciona ningún método para autenticar la extensión contra un servidor (que la fuerza de ventas también debería admitir) o almacenar propiedades de forma segura (sería difícil, si no imposible, en una plataforma abierta). así que mantener el secreto del cliente confidencial por desgracia no es posible.

Como este es un problema común, ya se considera en la especificación OAuth (consulte la sección 10.1 Autenticación del cliente y 10.2 Suplantación del cliente ). Por lo tanto, se requiere que el proveedor haga comprobaciones adicionales, pero del lado del cliente no puede hacer nada para mejorar la seguridad de manera efectiva.

Si desea obtener más información sobre cómo se manejará esto en dispositivos Android en el futuro, consulte mi respuesta aquí .

Debe insertar la ID del cliente en la extensión para que Salesforce sepa qué es la aplicación que intenta autenticarse. Estos ID de cliente están destinados a ser siempre almacenados y pasados ​​al servidor, por lo que siempre que lo guarde de forma segura no debería haber ningún problema.