我可以通过他们的Github帐户从Chrome扩展程序验证用户而无需后端服务器吗？

Question

我正在撰写Chrome扩展程序^并希望允许用户通过其Github帐户进行身份验证（定位开发人员）。我不想仅仅为了身份验证而设置后端服务器，因为所有功能在浏览器中完全脱机工作。

我做了一些研究。在没有您自己的后端服务器的情况下，有两种方法可以实现OAuth：

1. 隐式拨款，github does not support
2. 使用其他一些服务（例如Auth0）

我的问题是：

1. 我可以通过他们的Github帐户验证用户而无需任何后端服务器吗？
2. 如果我需要认证流程是什么样的？

^可以找到没有身份验证功能的工具here。

Answer 1

我将根据我的研究回答我自己的问题。如果我在这个答案中错了，请纠正我。

  

我是否可以通过他们的Github帐户对用户进行身份验证，而无需任何后端服务器？

简短的回答是肯定的。但你可能不想这样做。这是因为在the second step中，您需要通过name将client_secret发送回Github。通常，由于常规网页中的same origin policy，您无法发送到POST。 Extensions aren't so limited。出于安全原因，您不希望将Github.com放在JavaScript中。

  

如果我需要认证流程是什么样的？

1. 重定向用户以请求其Github身份。
2. Github通过临时client_secret将用户重定向回您的网站。
3. 您的应用程序（更可能是后端或本机应用程序，但不是前端的JavaScript）code POST，client_id和client_secret。
4. Github在回复中包含code。
5. 您的应用使用用户的访问令牌访问API。