Предельный / безопасный сервлет Google Appengine (поставщик услуг REST) для использования конкретным мобильным приложением
Какое наилучшее решение для обеспечения поставщика услуг REST (предположим, что сервлет java работает в Google appengine), разрешая запросы только с iOS или Android-устройства из определенного приложения?
Предположим, у меня есть сервлет, запущенный в Google appengine, который выполняет некоторую обработку и отвечает на запрос GET с некоторыми данными JSON. И я хочу ограничить этот доступ к моему приложению, которое работает на Android и iOS.
Мои текущие решения:
- Используйте
if(tokenValue == request.getHeader(tokenKey))на appengine servlet. А такжеresponse.addHeader(tokenKey, tokenValue)в мобильных приложениях, код. Так что в основном только мое приложение знайте ключ маркера. - Используйте HTTP (ы) для вышеуказанного решения, appengine поддерживает это
- Используйте oAuth - но мне нужно, чтобы пользователь sign- подключался к некоторому провайдеру oAuth из приложения, что усложняет приложение
Предложите другие полезные подходы к решению этой проблемы. Предположим, что этот сервлет обслуживает только запросы GET и, возможно, использует Restlet или Jackson
2 ответа
Как использовать SSL-сертификат клиента? Я не пробовал это, но я это рассматриваю. Здесь страница, описывающая подход, с некоторым примером кода: http://blog.crazybob.org/2010/02/android-trusting-ssl-certificates.html
-
1К сожалению, Google App Engine не поддерживает клиентские сертификаты. На этом они тоже прячутся - единственное упоминание здесь косое: code.google.com/appengine/docs/java/config/… («App Engine не поддерживает настраиваемые роли безопасности (<security-role>») или альтернативные механизмы аутентификации (<login-config>) в дескрипторе развертывания. "Bradley Gottfried
Только 3 будут подходящим решением, если безопасность важна для вас. Это связано с тем, что любой, кто использует приложение, может перехватить трафик и просто воспроизвести значения против вашего веб-сервиса. SSL предлагает некоторую защиту, но хороший злоумышленник может решить, как захватить данные, если они управляют устройством. С помощью OAuth урон, наносимый злоумышленником, ограничен одним пользователем (если они не являются администратором приложения).
-
0Ну, безопасность не совсем главная проблема. Я просто не хочу, чтобы другие пользователи использовали мой REST-сервис. Итак, как бы я внедрил решение № 3 без аутентификации пользователя iphone или android для провайдера oAuth?
Ещё вопросы
- 0разделить постоянную переменную между моделью рельсов и контроллерами angularjs
- 1Джексону не удалось отобразить пустой массив: ноль внутри ([ноль])
- 11FindBugs IDEA - ClassNotFoundException com.google.wireless.android.sdk.stats.IntellijIndexingStats
- 1Почтовый клиент Swing выбрасывает javax.mail.AuthenticationFailedException
- 0Лучший способ для двух последовательных таблиц SELECT
- 0Показать лингвальный текст, хранящийся в varchar (utf8_unicode_ci) на сервере MySQL в приложении Android с помощью сценария JSON php
- 0Как обеспечить API для вашей угловой директивы?
- 0Как определить причину сбоя с помощью windbg (ntdll! KiFastSystemCallRet)?
- 1Функция Python re.sub (), преобразующая «\ t» в пути к файлу в символ табуляции
- 1matplotlib измененная карта цветов с белым как ноль
- 0Передайте два значения из поля выбора, как только его выберут
- 1Как отправить контактные номера в базу данных Firebase?
- 0jqgrid deselectAfterSort для типа данных json
- 0Как отобразить кнопки «редактировать», «копировать» и «удалить» в phpMyAdmin?
- 1Фоновые задачи для регулярной синхронизации файлов
- 0Селектор CSS (или JavaScript, если необходимо) для выбора DIV, которые содержат хотя бы один UL
- 1Рейтинг мест (Foursquare)
- 0Как мне найти префикс в таблице MySQL?
- 1Не определено ни одного уникального компонента типа [бла]: ожидаемый единственный соответствующий компонент, но найден 2 [moreBlah]
- 1Автоматическое изменение размера окна tkinter, чтобы соответствовать всем виджетам
- 0Jquery добавляет только новые данные к объекту
- 1Как сохранить данные в локальном хранилище, прежде чем покинуть страницу на устройствах IOS?
- 1Python: как исправить ключевые значения JSON без двойных кавычек?
- 0Базовый калькулятор jQuery
- 0Экспортные перерывы HighCharts после сброса параметров диаграммы
- 0как перейти на страницу без углов в транспортире? [Дубликат]
- 0Как получить доступ к области действия ng-repeat из другой директивы того же элемента, на котором включен ng-repeat?
- 1Spring Mvc Form Post HTTP Status 400 Запрос, отправленный клиентом, был синтаксически неверным
- 1Сигнал переподключается каждые 2 секунды, даже если сервер работает
- 1Неявное EMAIL Intent Android; работает БЕЗ ФИЛЬТРА
- 1Котлин - Наследование в выражении объекта
- 0Jquery toggleclass не работает, следуя примеру почти дословно
- 1Java-код для отображения цикла
- 0C ++, используя операторы if-else для вычисления sin и cos
- 0Обновление инвентаря Square-Connect cURL Call
- 1Как добавить поле страницы сверху для вертикального просмотра?
- 1js Дата изменения 10 октября (BST) [копия]
- 1Неподдерживаемый тип операнда с использованием функции sum
- 0Как использовать Spring Restful веб-сервис, используя $ ресурс в Angularjs
- 1Создать новый массив из существующего только с элементами, которые содержат определенное значение
- 1Изменить параметр URL
- 0Проблема передачи массива в функцию
- 1Dagger 2 Android - зависимости inject () в ViewModels vs Application со ссылками на зависимости
- 0Библиотека Signal R для чата не работает для группы с mvc asp.net
- 0MySQL: выберите только некоторые сгруппированные строки со значениями, связанными с самым высоким ID
- 0JQuery не возвращается успешно
- 1В Joda-time 2.1 имеет значение long, переданное в DateTimeZOne.getStandardOffset?
- 0Как передать вектор объектов в другой класс, а затем вызвать функцию внутри члена объекта в этом векторе?
- 0Выберите primary_keys, которые соответствуют условиям из внешнего ключа другой таблицы
- 1Каков наилучший способ проверки правильных dtypes в кадре данных pandas в рамках тестирования?
