Manejo seguro de OAuth Consumer Key y Secret en extensiones de Chrome y Gadgets de Gmail

Question

Me gustaría obtener algunas ideas para manejar adecuadamente Salesforce OAuth Consumer Key y Secret en Chrome Extensions y Gmail Gadgets. Las extensiones de Chrome son esencialmente Javascript envuelto en un formato compatible con zip. Si necesito crear una extensión que llame a las API de Salesforce en nombre del usuario, debo incrustar la clave y secreto de consumidor de la aplicación OAuth generados por Salesforce en Javascript para la extensión. Esto crea la posibilidad de divulgación de la Clave y secreto del consumidor de OAuth, y posible uso indebido.

Tengo curiosidad por saber cómo otros desarrolladores manejan estas claves y secretos de consumidor de OAuth en las extensiones de Chrome.

Google proporciona claves de usuario y secretos anónimos para las extensiones de Chrome que necesitan acceder a las API de Google. Sin embargo, Salesforce no proporciona una configuración de OAuth similar. ¿Está esto en la hoja de ruta para la implementación de Salesforce OAuth 2.0?

Answer 1

Aquí hay un par de opciones.

1) Ejecutar un proxy a través de su propio servidor que protege los secretos y limita los métodos permitidos a través de su propia API. Esto también le permitirá actualizar las claves API en instantes en lugar de los posibles días para actualizar una extensión.

2) Ofuscar los secretos en el código de extensión/gadget. Puede dificultar su búsqueda, pero con Chrome será fácil seleccionar las claves en la pestaña de la red de herramientas de desarrollo.

3) Diga que lo atornille, déjelos en el código y asegúrese de que no se puede hacer ningún daño real usando los secretos.

En cuanto a la hoja de ruta de Salesforce, es probable que tenga que preguntar y probablemente no hagan ningún comentario.