Защищенный OAuth в Javascript

У меня есть api, который использует OAuth 1.0a для аутентификации приложений, использующих его. Он заменяет старый api, в котором использовалось несколько специально созданных и устаревших вызовов.

Хорошо известно, что OAuth 1.0a небезопасен в (клиентском) Javascript, поскольку он полагается на секрет потребителя, являющийся держится в секрете. Это невозможно, поскольку исходный код всегда доступен для просмотра.

У нас есть расширения для браузеров Chrome, Firefox, IE и Safari, которые в будущем должны использовать этот API. Все эти расширения в значительной степени или полностью написаны на Javascript, и, следовательно, возникает проблема безопасности.

Эти расширения являются внутренними и поэтому могут иметь специальные методы аутентификации для получения своих токенов доступа.

Что я ' Есть ли лучшие?

Пара заметок. Я точно знаю, что расширения Chrome могут запрашивать разрешение на доступ к вашим файлам cookie для данного сайта. Я считаю, что расширения firefox тоже могут это делать.

Очевидно, мы не хотим, чтобы наши файлы cookie были доступны через javascript на любой странице, иначе мы подвергнемся атакам XSS, поэтому они должны быть доступны только через расширения.