Chrome 확장 프로그램 및 Gmail 가젯에서 OAuth 소비자 키 및 비밀번호의 보안 처리

Question

Chrome 확장 프로그램 및 Gmail 가젯에서 Salesforce OAuth 소비자 키 및 비밀번호를 제대로 처리하는 방법에 대한 아이디어를 얻고 싶습니다. Chrome 확장 프로그램은 기본적으로 Zip 호환 형식으로 포장 된 자바 스크립트입니다. 사용자 대신 Salesforce API를 호출하는 확장 프로그램을 빌드해야하는 경우 확장을 위해 Salesforce에서 생성 된 App OAuth 소비자 키 및 비밀번호를 자바 스크립트에 삽입해야합니다. 이것은 OAuth 소비자 키 및 비밀의 공개 가능성 및 가능한 오용 가능성을 만듭니다.

다른 개발자가 Chrome 확장 프로그램에서 이러한 OAuth 소비자 키 및 비밀번호를 어떻게 처리하는지 궁금합니다.

Google은 Google API에 액세스해야하는 Chrome 확장 프로그램의 익명 소비자 키 및 비밀번호를 제공합니다. 그러나 Salesforce는 유사한 OAuth 설정을 제공하지 않습니다. Salesforce OAuth 2.0 구현 로드맵에 있습니까?

Answer 1

다음은 몇 가지 옵션입니다.

1) 비밀을 보호하는 자체 서버를 통해 프록시를 실행하고 자신의 API를 통해 허용 된 메소드를 제한하십시오. 또한 확장 프로그램 업데이트 일정이 아닌 순간에 API 키를 업데이트 할 수 있습니다.

2) 확장/가젯 코드의 비밀을 알아보기 어렵게 만듭니다. 찾을 수 없도록 만들 수 있지만 Chrome을 사용하면 dev 도구 네트워크 탭에서 키를 쉽게 선택할 수 있습니다.

3) 나사로 말하면 코드에 남겨두고 비밀을 사용하여 실제로 손상되지 않았는지 확인하십시오.

Salesforce의 로드맵에 관해서는 당신이 아마 그들에게 물어봐야 할 것이고 그들은 아마 코멘트하지 않을 것입니다.