Подтвердить что ты не робот

Защитить remote_api в приложении с помощью OpenID

Ранее я спросил question об использовании приложения remote_api для приложения с openID, и ответ работал хорошо, как надежно, так и небезопасно. В какой-то момент вскоре после этого изменилось что-то в приложении, и решение больше не работало надежно - то есть следующее

remote_api_stub.ConfigureRemoteDatastore(app_id=app_id, path='/remote_api', auth_func=auth_func, servername=host, secure=True)

перестает работать (всегда возвращается 302), и мне нужно было удалить защищенный аргумент, чтобы заставить его работать.

релиз 1.3.5 SDK, обещанный "Команды удаленного API могут быть отправлены через HTTPS или HTTP", что меня смутило, так как У меня создалось впечатление, что предоставление аргумента "secure = True" дало мне это уже на основе это обсуждение.

Мое подозрение в том, что именно выпуск этой функции заставил "безопасный" аргумент перестать работать. Итак, первая часть моего вопроса - я на самом деле выполнял команды remote_api безопасно, используя аргумент "secure = True" , до выпуска 1.3.5?

Как только хак файл cookie перестанет работать надежно, я попробовал решение Nick Johnson, указанное в том же вопросе, но с этим также я не мог предоставить "secure = True" , получив тот же ответ 302.

Что мне нужно сделать для безопасного запуска remote_api с помощью openID? Включает ли 1.3.5 новые возможности вокруг этого и как их использовать? Cheers,

Колин

4b9b3361

ОТВЕТЫ

Ответ 1

Относительно этого

http://code.google.com/intl/en-US/appengine/articles/openid.html

ПРЕДУПРЕЖДЕНИЕ: на момент написания этой статьи OpenID не поддерживается, если ваше приложение работает в безопасном режиме с помощью HTTPS.

Относится к this в последней версии версии 1.3.7

def ConfigureRemoteDatastore(app_id,
                             path,
                             auth_func,
                             servername=None,
                             rpc_server_factory=appengine_rpc.HttpRpcServer,
                             rtok=None,
                             secure=False):
  """Does necessary setup to allow easy remote access to an AppEngine datastore.

  Either servername must be provided or app_id must not be None.  If app_id
  is None and a servername is provided, this function will send a request
  to the server to retrieve the app_id.

  Args:
    app_id: The app_id of your app, as declared in app.yaml.
    path: The path to the remote_api handler for your app
      (for example, '/remote_api').
    auth_func: A function that takes no arguments and returns a
      (username, password) tuple. This will be called if your application
      requires authentication to access the remote_api handler (it should!)
      and you do not already have a valid auth cookie.
    servername: The hostname your app is deployed on. Defaults to
      <app_id>.appspot.com.
    rpc_server_factory: A factory to construct the rpc server for the datastore.
    rtok: The validation token to sent with app_id lookups. If None, a random
      token is used.
    secure: Use SSL when communicating with the server.

Итак, вы попробовали его с новым sdk?