Mejores prácticas de inicio de sesión de extensión de Chrome

Estoy creando una ventana emergente de extensión de Chrome y necesito iniciar sesión. Por ahora, haré mi propia autenticación con un nombre de usuario y una contraseña, pero ¿cuáles son las mejores prácticas dentro de una extensión?

Aquí están mis pensamientos:

  • Haré el inicio de sesión contra un servidor remoto usando una publicación.
  • Obtenga un token que conservaré en el almacenamiento local durante un tiempo.
  • La ventana emergente también debe tener un registro dentro de ella

¿Es bueno mantener todo dentro de la extensión? Aquí es donde quiero que estén mis usuarios, y no en algún sitio web para registrarse, etc.

¿El cambio de inicio de sesión a “página de inicio” o la página de registro debe hacerse con la mensajería?

Siempre debe usar OAuth 2.0 para la autenticación dentro de las extensiones. Nunca pase el nombre de usuario / contraseña porque un atacante puede simplemente robar dicha información.

Un ejemplo de Chromium con respecto a OAuth en extensiones es Tutorial: OAuth .

Además, hay una API experimental disponible para OAuth 2.0, que se supone que hace que todo el proceso sea un poco más fácil. Hay una publicación de blog exhaustiva, OAuth 2.0 de Chrome Extensions .