在JS中实现OAuth并揭示Consumer Secret和Key很好吗？

Question

我想开发一个适用于Chrome的Twitter客户端。我看到了Chrome的现有twitter扩展的JS文件。并发现他们的消费者的关键和秘密是暴露的。我相信这不是它应该的方式。

我想分享我的看法是服务器端。该用户需要在我的网站上注册。在这个网上有oAuth。我会保存他们的访问令牌。当他们安装我的Chrome扩展。我会要求他们登录。每当他们发布推文时，我都会在网上获取他们的访问令牌，并发布推文。

这样，我的钥匙将继续隐藏。我不想使用Chrome OAuth。

你觉得我的服务器端实现的OAuth比JS implementaion更好？

Answer 1

我想不会分享这些数据是在一般一个好主意，但是这是很难在一个Chrome扩展做的，因为它是更前端开发（除非你想保持对扩展自己的服务器？ ）。我认为公开您的OAuth凭证的风险并不高。如果他们被恶意用来攻击Twitter，Twitter将阻止访问，您可以申请新的密钥。您的用户密钥将被安全地存储在他们自己的机器上，以便用户数据可以正常使用。如果您正在寻找一种在扩展中实现OAuth2协议的简单方法，那么这里是我为此创建的一个实用程序。

https://github.com/jjNford/oauth2-chrome-extension

我用这个实现我自己的this extension。