Chrome扩展必应翻译

Question

我正在编写一个使用Bing翻译API的chrome扩展。要使用它，我需要一个访问令牌，可以使用我的clientID和客户端机密请求它。每隔十分钟就过期一次。

做这个客户端的正确方法是什么？我显然不想泄露我的客户机密，但是访问令牌每十分钟就过期一次。

Answer 1

你不能以防弹的方式保护客户端。

你基本上有两个选择。

1. 接受这样一个事实，即您的扩展代码可以被检查并提取秘密。然后，您可以使用chrome.identity以这种方式使用OAuth。考虑到API是可计费的，这是次优的。
2. 将秘密转移到某个托管服务器。然后，您的扩展将不得不向服务器请求一个令牌(该令牌过期，此时需要从您的服务器重新请求它)。这是唯一安全的方法。

一些API (而不是Bing)提供了一种仅使用客户端ID进行身份验证的方法，了解到JavaScript客户端无法保护秘密。这不是一个选项-您的代码应该生成令牌服务器端。