У нас есть готовый и готовый код, и мы хотим защитить наши API, которые построены поверх облачных конечных точек Google.Защита API конечных точек Google
так что теперь у нас есть некоторые трудности для достижения этих целей:
1) только запрос от IOS устройства допускается
здесь Using Auth with Endpoints в статье говорится, что мы можем Specifying authorized clients in the API backend. Мы добавили что-то вроде:
@Api(
name = "tictactoe",
version = "v1",
scopes = {Constants.EMAIL_SCOPE},
clientIds = {Constants.IOS_CLIENT_ID}
)
Однако мы по-прежнему можем получить доступ без предоставления идентификатора клиента.
2) только реальный пользователь разрешен доступ к нашему API,
нашего приложению имеет два вида пользователей: зарегистрирован & гостя. Нет стороннего входа в систему, используя Google или Facebook.
что делать, если мы реализуем метод getToken
и генерируем токен для пользователей. Но любой, кто знает этот api или сниффер трафика, будет знать механизм, и они могут играть с нашим API в качестве гостевой учетной записи.
Мы нашли googled и видим много OAuth2
или HMAC
, но для нашего случая это возможно сделать это проще и относительно безопасным.
Итак, как мы можем реализовать защищенные интерфейсные API на базе Google Cloud Platform?
Ответ Найджела кажется, что его следует изучить. Кроме того, вы можете объяснить свою точку 1 на странице «https://code.google.com/p/googleappengine/issues», отслеживании общедоступных сообщений Google для App Engine :) – Patrice
@Timeless вы нашли какое-либо решение вашей проблемы с IOS , Я столкнулся с подобной проблемой. Я делаю вызов из javascript-клиента, и я хочу защитить свою конечную точку, чтобы только мой клиент java-скрипта мог иметь доступ к моей конечной точке. Мне не нужно использовать auth. Когда я следил за документом Google, я могу достичь своей конечной точки от любого клиента. Любая помощь по этому поводу? – Bharathi