问题描述
我很喜欢开发跨浏览器的Web扩展,主要目标是Chrome,以至于我开始考虑为自己的公司开发一个。我发现chrome扩展是一种部署内部应用程序的廉价且有效的方法。主要目的是托管两个动态仪表板,这些仪表板通过在后台脚本中使用跨域Ajax从各种API中获取数据。我完成了该应用程序,并且还能够通过chrome.identity和Azure AD实施身份验证。 但是,我正在努力寻找一种自定义内容的安全方法。
我的意思是,安装扩展程序后,它需要通过chrome.identity流登录到azure。然后,我得到一个令牌,用于查询ms图形并获取用户ID,名称,电子邮件和基本信息。 在获得此信息之前,我希望用户以及任何其他扩展页面无法使用浏览器操作(弹出式窗口)。成功登录后,我想在弹出窗口中显示内容并允许用户访问页面,但是在这里我要自定义体验。
我知道如何使用从api调用中检索到的用户ID来自定义扩展名,但我认为这样做不安全,因为所有代码都在客户端中。
如果我编写类似的代码
if (user === logged) show something
一个恶意用户很容易查看代码并绕过它,甚至冒充另一个用户。 chrome扩展名不能被混淆。 有什么帮助吗? 谢谢
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)