我是浏览器扩展的新手。我正在尝试创建一个允许我在我的 Github 帐户中执行基本任务的 Safari 扩展程序(例如,创建一个 repo)。我这样做主要是为了学习如何在练习 JS 的同时开发扩展。
问题是为了连接到 Github,我想使用 OAuth,但我不知道该怎么做。我用谷歌搜索,看看我是否能找到一个我可以使用但没有任何结果的库。主要问题是,当尝试在 Github 上注册我的“应用程序”时,我不知道为主应用程序和回调提供什么 URL,因为它不是我正在开发的 Web 应用程序;这是一个扩展。
有没有人有这方面的经验,可以给我提示如何进行?我应该使用什么 URL 来注册 Github?是否可以从扩展中使用 OAuth?是否有库、SDK 或任何可以帮助完成这项工作的东西? 如果这个问题可以扩展到任何浏览器,请告诉我,我会更改标题以帮助处于相同情况的其他人。
感谢大家的帮助。
【问题讨论】:
标签: javascript github oauth safari safari-extension
我在 Safari 扩展程序中使用了 OAuth,欢迎您查看我的代码作为示例(请参阅下面的链接),但这个 JS library for Github 可能满足您的所有需求。我没用过,但它看起来不错,而且它支持“个人访问令牌”,我认为它是一种不需要指定重定向 URI 的 Github 的 OAuth 令牌。
我的 Safari 扩展程序 (Github link) 使用 OAuth 2.0 与 Pocket API 对话。它不使用库。对于重定向 URI,我使用与启动整个授权过程的页面相同的 URL,但附加了“?status=done”。页面的脚本检查其 URL,如果 URL 以该字符串结尾,则它知道该页面是由授权窗口加载的,因此它可以继续获取访问令牌。
在任何类型的客户端应用程序(例如浏览器扩展程序)中使用 OAuth 时,您应该注意的一件事是,您的 OAuth 应用程序令牌将暴露给您应用程序的用户。即使您在应用程序中对其进行加密或通过 https 从服务器检索它,用户也可以使用浏览器的内置 JS 调试器来获取令牌,因为您必须在某些时候对其进行解密才能使用它。如果有人偷了你的令牌,他们可以用来欺骗人们授权他们伪装成你的恶意应用程序。由您决定这种风险是否可以承受。避免这种风险的唯一方法是拥有自己的与第三方 API 通信的服务器端应用程序,并且您的扩展程序与之通信。但是随后有人可以从您的扩展程序代码中学习如何与您的服务器端应用程序通信,所以我不确定这是否真的能为您带来任何好处。
【讨论】:
safari.extension.secureSettings 中的设置提供了一个安全的存储空间,因此您可以使用它来存储用户提供的令牌。