我已经浏览了使用Authsub检索Google Feed数据的google示例(http://code.google.com/appengine/articles/python/retrieving_gdata_feeds.html)
如果我理解正确,恶意黑客可能会拨打'next_url'(使用您的令牌调用google auth服务)并注入自己的令牌?
这意味着它们可能会导致Web应用程序写入Hackers google doc帐户而不是经过身份验证的用户!
是否有人知道如何保护此网址,以便只有Google身份验证服务可以调用它?
以下是我所指的代码:
def get(self):
next_url = atom.url.Url('http', settings.HOST_NAME, path='/step1')
# Initialize a client to talk to Google Data API services.
client = gdata.service.GDataService()
gdata.alt.appengine.run_on_appengine(client)
# Generate the AuthSub URL and write a page that includes the link
self.response.out.write("""<html><body>
<a href="%s">Request token for the Google Documents Scope</a>
</body></html>""" % client.GenerateAuthSubURL(next_url,
('http://docs.google.com/feeds/',), secure=False, session=True))