Java 谷歌应用引擎云端点安全

我正在启动一个新的项目，使用基于javascript的UI作为前端，并使用google云端点（由google数据存储支持）进行数据存储

我不需要使用任何谷歌服务进行用户登录等。换句话说，我将有自己的表来存储用户名、pwd和其他个人资料信息

因此，问题是： 1.我的基于服务的前端将如何举行会议？ 2.它将如何理解请求将针对哪个用户帐户返回特定于用户的数据

首先，我已经创建了一个端点，它在向其传递用户名时基本上返回true或false。（是否只是为了模仿有效用户）

---

问题是，我真的需要配置任何安全性来从我拥有的javascript客户端调用此api吗？

即使您想要使用自定义用户名和密码，您也需要不仅仅是一个从端点发送和检索此数据的过程

考虑使用已经存在的东西。例如，webapp2有一个基本的身份验证模块，允许您拥有自己的带有用户名和密码的数据库，但已经有许多必要的安全措施

---

我过去曾用过一个教程来实现这一点：

即使您想使用自定义用户名和密码，您也需要的不仅仅是一个从端点发送和检索数据的过程

考虑使用已经存在的东西。例如，webapp2有一个基本的身份验证模块，允许您拥有自己的带有用户名和密码的数据库，但已经有许多必要的安全措施

---

我过去曾用过一个教程来实现这一点：

所以基本答案是Google Cloud Endpoints最适合用户使用Google帐户作为身份验证机制的应用程序

所以，如果您正在使用云端点，并且希望有自定义的身份验证机制，那么您必须创建自己的身份验证机制

我的基于服务的前端将如何举行会议？

成功认证后（通过用户凭证、第三方社交登录等任何形式），您需要为该用户设置会话，例如；通过使用会话cookie

它如何理解请求是针对哪个用户帐户返回用户特定数据的？

云端点无法判断这一点，因此您必须编写自定义筛选器或拦截器来检查是否存在有效的会话或cookie，并拒绝或继续请求

---

要传递请求api的当前经过身份验证的用户，您需要以某种方式（使用DI或请求属性等）将用户信息注入到ApiEndpoints中，因此，您可以相应地处理请求

，因此基本答案是Google Cloud Endpoints最适合用户使用Google帐户作为身份验证机制的应用程序

所以，如果您正在使用云端点，并且希望有自定义的身份验证机制，那么您必须创建自己的身份验证机制

我的基于服务的前端将如何举行会议？

成功认证后（通过用户凭证、第三方社交登录等任何形式），您需要为该用户设置会话，例如；通过使用会话cookie

它如何理解请求是针对哪个用户帐户返回用户特定数据的？

云端点无法判断这一点，因此您必须编写自定义筛选器或拦截器来检查是否存在有效的会话或cookie，并拒绝或继续请求

---

要传递请求api的当前经过身份验证的用户，您需要以某种方式（使用DI或请求属性等）将用户信息注入ApiEndpoints，这样，如果您正在进行自己的身份验证，您就可以相应地处理请求，您必须编写自己的身份验证/授权层。除了使用我自己设置的用户名密码外，如何使用现有身份验证？如果您使用的是Flask或Django，可能是。在Django中，您可以将它们导入到它自己的数据库中，或者创建一个自定义的身份验证后端。使用flask，您可以集成flask登录或flask安全性。我不知道webapp2中有这样的功能。（编辑：或在端点中，我也不知道有任何这样的功能。）如果您使用自己的身份验证，则必须编写自己的身份验证/授权层。使用现有身份验证但使用自己设置的用户名密码的方法是什么？如果您使用的是Flask或Django，可能是。在Django中，您可以将它们导入到它自己的数据库中，或者创建一个自定义的身份验证后端。使用flask，您可以集成flask登录或flask安全性。我不知道webapp2中有这样的功能。（编辑：或者在端点中，我也不知道有任何这样的特性。）这是针对python的。我需要python的javaits。我需要Java，所以如果我不使用自己的安全层并依赖google的，那么我的最终用户是否必须拥有google帐户才能使用我的网站？是的，没错，但决策应该基于你的应用程序是什么而不是appengine提供什么，如果您的企业需要自定义身份验证，那么您应该去建立自己的身份验证。因此，如果我不使用自己的安全层，而依赖谷歌的安全层，那么我的最终用户是否必须拥有一个谷歌帐户才能使用我的网站？是的，没错，但决策应该基于您的应用程序是什么，而不是appengine提供什么，如果您的企业需要自定义身份验证，那么您应该去构建自己的身份验证