Chrome拡張機能とウェブサイトのユーザーを正しく認証する

Question

Chrome拡張機能を使用して、ChromeアプリケーションのGoogle oAuthでユーザーを認証します。その後、アプリ内の支払い情報を確認し、自分のウェブサイトからウェブサービスを呼び出します。私のウェブサイトでは、WebアプリケーションタイプのoAuthを使用して、ユーザーにGoogle電子メールで登録するようにしています。

クロム拡張子はスプーフィングできるjavascriptなので、私はいつも自分のウェブサービスが呼び出されていることを保証したいと思います。 oAuthは2つの異なるクライアントIDでマージの可能性なしに起きているので、拡張で認証された人物が実際にWebサービスを呼び出す人物であることを確認するための代替方法があるかどうか尋ねたいと思います。

Answer 1

Chrome拡張機能でユーザーのアクセストークンを取得したら、サーバーに送信します（HTTPS経由）。サーバーに、そのアクセストークンで認証されたGoogleへのAPIリクエストを作成して、ユーザーの電子メール/ IDを取得させます。そのユーザーが誰であるかを知り、自分のサイトのアクセストークンを生成して、後で使用するためにクロムエクステンションに戻すことができます。