我已经设置了一个测试Google云端点api并让它运行得非常快。它运行良好,使用iOS模拟器中的测试应用程序,并使用谷歌的API资源管理器。 API目前对所有人开放,无需身份验证。
我想:设置应用程序可以使用的API密钥或系统凭据,以确保它可以单独访问api - 所有其他人都被拒绝。< / p>
Google Endpoints Auth docs (1)中的方法是使用 Google Developers Console (2)创建OAuth 2.0客户端ID。所以我为类型为iOS的已安装应用程序创建了一个ID。到目前为止一切都很好。
在应用程序中,GTLService对象看起来像这样......
-(GTLServiceDemogaeapi *)myApiService {
GTMOAuth2Authentication *auth = [[GTMOAuth2Authentication alloc] init];
auth.clientID = @"10???????????????????ie.apps.googleusercontent.com";
auth.clientSecret = @"z????????????3";
auth.scope = @"https://www.googleapis.com/auth/userinfo.email";
static GTLServiceDemogaeapi *service = nil;
if (!service) {
service = [[GTLServiceDemogaeapi alloc] init];
service.authorizer = auth;
service.retryEnabled = YES;
[GTMHTTPFetcher setLoggingEnabled:YES];
}
return service;
}
在GAE上我已经指定了(allowed_client_ids并添加了用户检查方法...
@endpoints.api(name='demogaeapi', version='v1',
allowed_client_ids=['10?????????????ie.apps.googleusercontent.com',
endpoints.API_EXPLORER_CLIENT_ID],
scopes=[endpoints.EMAIL_SCOPE],
description='My Demo API')
class MyApi(remote.Service):
@TestModel.method(path='testmodel/{id}', name='testmodel.insert', http_method='POST')
def testModelInsert(self, test_model):
current_user = endpoints.get_current_user()
if current_user is None:
raise endpoints.UnauthorizedException('Invalid token.')
current_user 始终是无,因此该方法将始终引发异常。这似乎是一个已知问题问题8848:Google Cloud Enpoints get_current_user API无法填写user_id (3),很快就无法修复。
编辑:2015年5月15日 - Google将问题8848发布为WontFix。
我看到有可能使用API密钥,但我已经能够创建一个 - 我还没有找到在后端启用它的方法。我还注意到这种方法有一个很大的漏洞,谷歌的API资源管理器可以打败它看到问题(4)。
@ endpoints.api Argument:auth_level ,此处描述(5),是否提供了答案?我尝试使用:
@endpoints.api(name='demogaeapi', version='v1',
auth_level=endpoints.AUTH_LEVEL.REQUIRED,
scopes=[endpoints.EMAIL_SCOPE],
description='My Demo API')
但是能够在不使用凭据的情况下使用客户端应用程序中的api。所以它显然没有添加任何身份验证。
将hiddenProperty添加到持有共享密钥的客户端查询中。如bossylobster here (6)和Carlos here (7)所述。我尝试了这个,但看不到如何获取原始请求对象(另一个问题的主题How to get at the request object when using endpoints_proto_datastore.ndb?)。
@TestModel.method(path='testmodel/{id}', name='testmodel.insert', http_method='POST')
def testModelInsert(self, test_model):
mykey,keytype = request.get_unrecognized_field_info('hiddenProperty')
if mykey != 'my_supersecret_key':
raise endpoints.UnauthorizedException('No, you dont!')
编辑:另一个选项已浮出水面:
有谁知道如何让这些选项有效?或者我应该以不同的方式接近这个?
你可以看到我需要指导,帮助,想法......
因为我需要10个声誉来发布超过2个链接:这里是我必须提取和添加作为参考的链接。有点破坏了问题的流程。
答案 0 :(得分:1)
一个很好的问题和一个真正的问题。我通过拥有自己的&#34;用户&#34;解决了这个问题。数据库表。 Long
密钥(我使用Java)是在写入时自动生成的,这是我用来从那时起唯一标识用户的值。写入该表的还有Google ID(通过网页调用时提供),电子邮件地址和iOS ID(在未登录Google帐户时使用iOS应用时)。
当我的AppEngine端点被调用时,我使用User
参数中存在 的信息(只是登录客户端的经过身份验证的电子邮件地址)或单独的可选{{ 1}}参数,以便从所述表中获取我的内部用户ID号码,然后使用该号码来唯一地标识我的用户。
我也使用相同的表来存储其他特定于用户的信息,因此除了尝试使用iosid
作为主键而不是我必须创建三个字段之外,它实际上没有什么不同(索引的googleid,email,iosid索引。