我已经构建了一个谷歌应用引擎,将其用作我的Android应用的数据库,因此我不希望任何人在我上传它之后访问我的网络应用。我该怎么阻止它?我想过使用密码作为参数,如果密码不匹配则显示错误页面,但这样做风险很大且不够。 还有另一种方式吗?
谢谢!
答案 0 :(得分:2)
只需向web.xml添加安全约束,例如
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
您需要为您的客户端应用定义一些身份验证机制,但它会通过例如使用SSL并从Android应用程序发送登录值。在这种情况下,请确保通过web.xml打开应用程序使用的URL模式。
答案 1 :(得分:0)
据推测,您希望Android应用的用户能够访问您的应用,但没有其他人可以访问您的应用。这是不可能的:您的Android应用可以生成的任何内容都可以在没有您的应用的情况下独立生成。
最好的情况是,您可以在应用中嵌入一个秘密令牌并使用它来生成请求的签名,但是有人提取该秘密并直接使用它并不困难。