浏览器插件或扩展可以看到页面中运行的javascript变量的值吗？

Question

我想使用类似于OAuth隐式授权的东西来给客户端提供访问令牌，这样就可以在客户机上而不是服务器上完成工作，从而节省我的成本。

我不想确切地使用隐式。相反，我想使用授权授予。我的服务器将首先获得访问令牌，因此浏览器不会将令牌存储在历史记录或日志中。服务器将通过web套接字将令牌发送到客户端。客户机现在将在它的javascript运行时中拥有令牌。

我想知道是否有人可以偷这个记号。然而，客户端位于可信的网站上，但是，我想知道像Chrome扩展这样的东西是否可以检查javasceipt运行时并查看访问令牌的值。

我还想知道是否还有其他方法可以从客户端的javascript运行时获取访问令牌。

Answer 1

一般不推荐 使用隐式流(有些服务器完全禁止此流)。

如果您是建立一个新的SPA，您应该考虑使用PKCE实现基于授权代码的新指南。