Chrome拡張機能を構築しています。以前chrome.identity.getAuthTokenはaccess_tokenを取得していました。これにより、クライアント側(ブラウザ)でaccess_tokenが提供されました。次に、このaccess_tokenをサーバーに渡します。付与されたAPIにオフラインでアクセスしたいのですが、そのためには、長寿命のトークンと更新トークンと交換する必要があることを理解しています。access_tokenをサーバーに渡す安全な方法はありますか?または、htttp postを使用する必要がありますか?
もう1つの方法は、ユーザーをサーバーにリダイレクトして、両方のフローをそこに配置することです。
最良かつ最も安全な方法は何ですか?
サーバーサイドフローは、authorization_codeフローを使用してrefresh_tokenを取得するのに最適だと思います。
クライアント側のフローを使用すると、更新トークンをリクエストできません。Googleはそのリクエストを拒否します。メッセージaccess_typeがオフラインであり、応答タイプのトークンは許可されていません。
サーバーでアクセストークンと更新トークンを安全に取得したら、それをChrome拡張機能に送信できるため、拡張機能はトークンを維持するために追加のプロセスを実行する必要はありません。トークンの有効期限が切れると、サーバーに新しいアクセストークンを要求できます。次に、サーバーは更新トークンを使用してアクセストークンを更新し、拡張機能に送り返します
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加