对我来说,当你得到低(一般的黑客术语)配额(我正在谈论免费的GAE计划)和相当大的文件uoy想流式传输给你的用户时,你必须以某种方式保护thouse文件免受“坏”用户< / p>
所以很难过
默认情况下,App Engine会生成所有文件 在WAR中可用作静态文件 除了WEB-INF /中的JSP和文件。任何 请求路径匹配的URL 静态文件直接提供文件 到浏览器 - 即使路径也 匹配servlet或过滤器mapping.matches servlet或过滤器映射。
在WAR中实现文件夹保护的方法有什么缺点? (代码,样本,文章示例等)
(情况:我们使用GAE for Java。所以我们只是编写JSP和Java以及xml和JS和Html。所以:空的gae项目,还没有源(只是一些默认的html)文件夹中的'数据'一些文件不应该陷入坏人手中)
答案 0 :(得分:2)
我唯一能想到的是<security-constraint>元素,您可以在部署描述符中添加它。
您可能知道,App Engine应用程序可以使用Google帐户进行用户身份验证。应用还可以使用部署描述符中提到的元素,为基于Google帐户的URL路径指定访问限制。 此安全约束适用于静态文件和servlet。
但就目前而言,这是因为:
“Google App Engine不支持部署描述符中的自定义安全角色(<security-role>)或备用身份验证机制(<login-config>。”
有关更多信息,请查看GAE Java部署描述符:http://code.google.com/appengine/docs/java/config/webxml.html#Security_and_Authentication
希望这有帮助!