我正在GAE上编写一个应用程序,它将RESTlike API暴露给可能正在使用任何操作系统/软件的固定数量的远程服务器。目前我正在思考如何无痛地识别和验证这些远程服务器 我试图避免为了明显的安全问题而自己编写过多的程序。
如果我使用的是Apache或nginx,我会使用SSL客户端证书,让客户选择他们想要联系API,curl,webapp等的任何内容。
据我所知,目前GAE没有以这种方式提供检查客户端证书。
在使用Py2.7的GAE中有没有其他方法可以做到这一点? 如果这不可能或者是一个非常大的麻烦,那么在这种情况下,有人能指出另一种识别和验证远程服务器的好方法吗?
我只能发布我检查过的两个链接
https://groups.google.com/forum/?fromgroups=#!topic/google-appengine-python/c5PHMrAMAcI
https://sites.google.com/site/oauthgoog/authenticate-google-app-engine-app
过去几天加上很多。我找到了一些类似于我的问题,但至少对我没有满意的答案。
答案 0 :(得分:1)
我建议调查Google Cloud Endpoints,它目前处于受信任的测试阶段。我在这个answer中更详细地讨论了它,但你会得到的主要内容是:
我们主要针对开发人员在其应用后端构建API,但其他“同一方”(例如,您是API开发人员和消费者)的使用应该同样有效。