Chrome-Erweiterung benötigt Offline-Zugriff von der Serverseite

Question

Ich baue eine Chrome-Erweiterung. Ich habe chrome.identity.getAuthToken verwendet, um das access_token zu erhalten. Dies stellte mir das access_token auf der Client-Seite (Browser) zur Verfügung. Jetzt möchte ich dieses access_token an meinen Server weitergeben. Ich möchte offline Zugriff auf gewährte APIs haben, ich verstehe, dass ich dafür mit dem Long-Live-Token und dem Refresh-Token austauschen muss. Gibt es eine sichere Möglichkeit, access_token an den Server zu übergeben? Oder sollte ich htttp post verwenden?

Eine andere Möglichkeit besteht darin, den Benutzer zum Server umzuleiten, um beide Daten dorthin fließen zu lassen.

Was ist die beste und sicherste Praxis?

Answer 1

Ich denke, Sever Side-Flow ist am besten zu refresh_token mit Authorization_code Fluss erhalten.

den Client-Seite Fluss Verwenden Sie nicht Aktualisierungs-Token anfordern können, wird Google diese Anforderung Mit der Offline-Nachricht access_type ablehnen, nicht für Antworttyp-Token erlaubt

Sobald Sie die Zugriffstoken erhalten und Token sicher in Server aktualisieren Sie können dies an die Chrome-Erweiterung senden, sodass die Erweiterung keinen zusätzlichen Prozess zur Verwaltung des Tokens benötigt. Sobald das Token abgelaufen ist, können Sie den Server für das neue Zugriffstoken anfordern. Der Server verwendet dann das Aktualisierungstoken, um das Zugriffstoken zu aktualisieren und senden Sie zurück an die Erweiterung