как реализовать тонкое клиентское приложение с PyQt

Question

Вот что я хотел бы сделать, и я хочу знать, как некоторые люди, имеющий опыт работы в этой области сделать это:

С три запроса POST я получаю от сервера HTTP :

1. виджеты и раскладка
2. , а затем приложение логики (минимальные)
3. данные

Или, может быть, это лучше совместить первые два или все три. Я думаю использовать pyqt. Я думаю, что могу загрузить файлы .ui. Я могу анализировать данные json. Я просто думаю, что было бы довольно опасно передавать код по сети, которая будет выполнена на клиенте. Если кто-то может заблокировать соединение или может изменить настройки приложений для доступа к фиктивному серверу, это неприятно.

Я хочу сделать это так, потому что он постоянно обновляет всех клиентов. Это похоже на webapp, но проще из-за Qt. По сути, «тонкое» приложение - это всего лишь минимальный скомпилированный файл python, который загружает данные с сервера.

Как это сделать без возникновения проблем безопасности на клиенте? Достаточно ли https? Есть ли способ заставить pyqt работать в виде песочницы?

PS. Я не застрял на Qt или python. Мне нравится концепция. Я действительно не хочу использовать Java-сервер или клиентскую сторону.

Answer 1

Ваше желание отправить «логику приложения» с сервера на клиент без отправки «кода» само по себе является самопротиворечивым, хотя вы еще не можете этого понять - даже если «логика», которую вы отправляете, находится в некоторый упрощенный ad-hoc «язык» (который вы даже не думаете как язык ;-), во всех смыслах и целях ваш код Python будет , интерпретируя этот этот язык и тем самым выполнять это код. Вы можете в некоторой степени «изолировать» вещи, но, в конце концов, это то, что вы делаете.

Чтобы избежать угонов и других трюков, используйте HTTPS и проверьте сертификат сервера на своем клиенте: это защитит вас от всех проблем, о которых вы беспокоитесь (если кто-то может редактировать приложение достаточно, чтобы победить сертификат HTTPS проверки, они могут редактировать его достаточно, чтобы заставить его запускать любой код, который они хотят, без необходимости отправлять этот код с сервера ;-).

После того, как вы используете https, сервер отправляет модули Python (в исходной форме, если вам нужно поддерживать несколько версий Python на клиентах, иначе байт-код в порядке), и клиент тем самым сохраняет их на диск и импортирует/перезагружает их, будет хорошо. Вы в основном будете делать вариант классической «архитектуры плагинов», где «плагины» фактически отправляются с сервера (вместо того, чтобы быть найденным на диске в определенном месте).

Answer 2

Использование веб-браузера - это хорошо документированная система, которая делает все, что вы хотите. Также довольно быстро создавать простые графические приложения в браузере. Примеры моих рассуждений:

• Sage математики среда построены их graphical client как приложение, которое запускается в браузере, а также локальный веб-сервер.

• Существует проект Pyjamas, который компилирует Python в Javascript. Это ИМХО стоит попробовать.

Edit:

• Вы можете попробовать PyPy «s sandbox interpreter, как безопасный интерпретатор Python для кода, который был передан по сети.

• А вот самое простое решение: просто отправьте модули Python по сети, но запишите и/или зашифруйте их. Так работают все дистрибутивы Linux. Вы храните криптографический токен на локальном компьютере. Сервер подписывает/шифрует код перед его отправкой с соответствующим токеном. GPG должен уметь это делать.