有没有办法保护Google云端点原型数据存储？

Question

有没有办法保护Google云端点原型数据存储？

Nig*_*gel 11 python google-app-engine google-cloud-endpoints endpoints-proto-datastore

我的设置:

使用endpoints_proto_datastore的Python,谷歌应用引擎
iOS,端点Obj-C客户端库生成器

背景

我已经设置了一个测试Google云端点api并让它运行得非常快.它运行良好,使用iOS模拟器中的测试应用程序,并使用Google的API Explorer.API目前对所有人开放,无需身份验证.

我想:设置一个API密钥或系统凭证,可以由应用程序使用,以确保它可以单独访问api - 所有其他人都被拒绝.

在该方法谷歌端点验证文档(1)是创建使用OAuth 2.0用户端ID 谷歌开发者控制台(2).所以我为类型为iOS的已安装应用程序创建了一个ID.到现在为止还挺好.

在应用程序中,GTLService对象看起来像这样......

-(GTLServiceDemogaeapi *)myApiService {
    GTMOAuth2Authentication *auth = [[GTMOAuth2Authentication alloc] init];
    auth.clientID = @"10???????????????????ie.apps.googleusercontent.com";
    auth.clientSecret = @"z????????????3";
    auth.scope = @"https://www.googleapis.com/auth/userinfo.email";

    static GTLServiceDemogaeapi *service = nil;
    if (!service) {
        service = [[GTLServiceDemogaeapi alloc] init];
        service.authorizer = auth;
        service.retryEnabled = YES;
        [GTMHTTPFetcher setLoggingEnabled:YES];
    }
    return service;
 }

Run Code Online (Sandbox Code Playgroud)

在GAE上我已经指定了(allowed_client_ids并在方法中添加了用户检查...

@endpoints.api(name='demogaeapi', version='v1',
               allowed_client_ids=['10?????????????ie.apps.googleusercontent.com',
               endpoints.API_EXPLORER_CLIENT_ID],
               scopes=[endpoints.EMAIL_SCOPE],
               description='My Demo API')
class MyApi(remote.Service):

    @TestModel.method(path='testmodel/{id}', name='testmodel.insert', http_method='POST')
    def testModelInsert(self, test_model):

        current_user = endpoints.get_current_user()
        if current_user is None:
            raise endpoints.UnauthorizedException('Invalid token.')

Run Code Online (Sandbox Code Playgroud)

问题

current_user始终为None,因此该方法将始终引发异常.这似乎是一个已知问题问题8848:Google Cloud Enpoints get_current_user API未填写user_id(3),很快就无法修复.

选项？

等到谷歌修复问题8848.不能真的,我们有一个产品要发布!

编辑:2015年5月15日 - 谷歌将问题8848发布为WontFix.

我看到有可能使用API Key但是我能够创建一个 - 我还没有找到在后端启用它的方法.我还注意到这种方法有一个很大的漏洞,谷歌的API资源管理器可以打败它看到问题(4).
请问@ endpoints.api参数:auth_level,这里介绍(5),提供一个答案？我试过用:
```
@endpoints.api(name='demogaeapi', version='v1',
       auth_level=endpoints.AUTH_LEVEL.REQUIRED,
       scopes=[endpoints.EMAIL_SCOPE],
       description='My Demo API')
```
Run Code Online (Sandbox Code Playgroud)
但是能够在不使用凭据的情况下使用客户端应用程序中的api.所以它显然没有添加任何身份验证.
将hiddenProperty添加到持有共享密钥的客户端查询中.正如bossylobster描述这里(6)和卡洛斯这里(7).我试过这个,但看不到如何获取原始请求对象(另一个问题的主题如何在使用endpoints_proto_datastore.ndb时获取请求对象？).
```
@TestModel.method(path='testmodel/{id}', name='testmodel.insert', http_method='POST')
def testModelInsert(self, test_model):

    mykey,keytype = request.get_unrecognized_field_info('hiddenProperty')
    if mykey != 'my_supersecret_key':
        raise endpoints.UnauthorizedException('No, you dont!')
```
Run Code Online (Sandbox Code Playgroud)

编辑:另一个选项浮出水面:

使用Google Developers Console创建服务帐户(2).使用此帐户可以访问API,而无需用户同意(通过UI).但是,Google似乎将以这种方式添加的应用数量限制为15或20.请参阅Google OAuth2 doc(8).我们可能会超出限制.

问题

有谁知道我怎么能让这些选项工作？或者我应该以不同的方式接近这个？

如你所见,我需要指导,帮助,想法......

因为我需要10个声誉来发布超过2个链接:这里是我必须提取和添加作为参考的链接.有点破坏了问题的流程.

cloud.google.com/appengine/docs/python/endpoints/auth
console.developers.google.com/
code.google.com/p/googleappengine/issues/detail?id=8848
stackoverflow.com/a/26133926/4102061
cloud.google.com/appengine/docs/python/endpoints/create_api
stackoverflow.com/a/16803274/4102061
stackoverflow.com/a/26133926/4102061
developers.google.com/accounts/docs/OAuth2

Answer 1

Bri*_*ite 1

这是一个很好的问题，也是一个真正的问题。我通过拥有自己的“用户”数据库表解决了这个问题。密钥Long（我使用 Java）是在写入时自动生成的，从那时起，我就用它来唯一标识用户。该表中还写入了 Google ID（如果通过网页调用则提供）、电子邮件地址和 iOS ID（在未登录 Google 帐户的情况下使用 iOS 应用程序时）。

当我的 AppEngine 端点被调用时，我使用参数中存在的信息User（仅是登录客户端经过身份验证的电子邮件地址）或单独的可选iosid参数，以便从所述表中获取我的内部用户 ID 号并从那时起使用它来唯一标识我的用户。

current_user我也使用同一个表来存储其他特定于用户的信息，因此它实际上与尝试用作主键没有任何不同，只是我必须为三个字段（googleid、email、iosid）建立索引以进行查找。

归档时间：	11 年，6 月前
查看次数：	966 次
最近记录：	8 年，6 月前