是否可以允许某些URL绕过wwwhisper

时间:2013-06-22 23:22:23

标签: heroku wwwhisper

我正在寻找使用wwwhisper插件将身份验证添加到我正在构建的简单Web应用程序中。 webapp会生成一个小型JSON文件,该文件将由iOS应用程序使用。我希望所有用户都能够在没有身份验证的情况下查看JSON文件,并且需要后端访问才能通过wwwhisper。这可能吗?根据我目前所见,您只能指定可以为所有经过身份验证的用户授权某些URL。

1 个答案:

答案 0 :(得分:1)

wwwhisper允许指定不需要身份验证的URL。您可以将*设置为访问控制规则来实现此目的(*?规则也允许每个人,但需要身份验证)。

对此类URL的请求仍会转到wwwhisper后端进行授权检查,但后端始终授予对它们的访问权限。

此功能仅在付费套餐中可用(这是因为位置对所有人开放的应用程序会在后端产生更大的负载)。

如果您不希望打开位置的请求转到wwwhisper后端,理论上可以使用自定义Rack中间件来检查路径并将请求传递给wwwhisper中间件,或直接传递到您的应用程序。这种模式不支持开箱即用,需要仔细编码才能正确处理。这背后的原因是棘手的身份验证相关代码应该优选地在一个地方处理。从auth后端移出一些auth检查可能是安全漏洞的来源。