javascript - 我应该如何安全地存储密码并在 chrome 扩展中使用 http auth

Question

我正在制作一个需要从安全服务器获取 xml 文件的 chrome 扩展。

我目前正在使用 XMLHttpRequest() 调用服务器

https://username:password@mydomain.com

它返回一个我可以解析和显示的 xml 对象。我希望此扩展不仅仅可用于我的业余爱好，因此它需要一个选项页面来设置和存储用户名和密码。

我应该如何在 chrome 中存储用户密码以使其安全？ chrome 为每个扩展都有一个 localStorage 全局，允许扩展作者存储数据，但它以纯文本形式存储。它不允许扩展程序访问“记住我的密码”存储(有充分的理由)。

是否有更安全的方式来进行 http 身份验证？我当前的处理方式需要在每次调用该函数时以纯文本形式在 url 中传递用户名/密码，即使身份验证 session 尚未过期也是如此。

Answer 1

要求 key 的问题在于，这意味着每次启动时都必须提示(如果存储 key ，则会遇到同样的问题)。如果您要保护的内容特别敏感，这可能是一个不错的权衡。

一般来说，Chrome 采用信任操作系统的理念来保护存储此数据的用户配置文件，因此，如果您使用本地存储来存储密码，这与 Chrome 现在使用密码自动填充、浏览器历史记录所做的事情没有什么不同等