我最近一直在研究如何保护我的应用程序引擎安全。目前,我一直在阅读以下问题和其中的链接:如何将 Google 应用引擎端点 API 访问限制为仅限我的 Android 应用程序?。
然而,它并没有解决我的问题。我的问题类似于上面的问题,即将访问我的端点 API 的权限限制为仅限我的应用程序。那个人似乎已经成功地在输入正确的电子邮件到凭据中时使其工作。
我的问题是,是否可以在不需要输入任何凭据的情况下实现相同的结果。我希望只有我的应用程序才能使用我的端点 API,以防止其他应用程序滥用它并使用我的配额。我已经为我的 Android 应用程序获得了客户端 ID,并将其放置在 @API 注释中。为了测试它是否有效,我在另一个 API 类的 @API 注释中设置了一个随机值作为客户端 ID。然而,我的应用程序仍然能够使用两个类的方法。有帮助的吗?
-编辑-
从文档中阅读和进一步研究,授权应用程序的端点方式是通过对用户进行身份验证并检查用户是否为 null。我的问题是,在验证用户的过程中,Google 是否能够读取我的应用程序的 SHA1 指纹并将其授权给其客户端 ID 列表?如果可以,我该如何在我的端点中复制此过程,以便我检查发出请求的应用程序的 SHA1 指纹并将其与设置值进行比较?我不太了解端点背后的机理,所以如果我理解有误,请纠正我。
然而,它并没有解决我的问题。我的问题类似于上面的问题,即将访问我的端点 API 的权限限制为仅限我的应用程序。那个人似乎已经成功地在输入正确的电子邮件到凭据中时使其工作。
我的问题是,是否可以在不需要输入任何凭据的情况下实现相同的结果。我希望只有我的应用程序才能使用我的端点 API,以防止其他应用程序滥用它并使用我的配额。我已经为我的 Android 应用程序获得了客户端 ID,并将其放置在 @API 注释中。为了测试它是否有效,我在另一个 API 类的 @API 注释中设置了一个随机值作为客户端 ID。然而,我的应用程序仍然能够使用两个类的方法。有帮助的吗?
-编辑-
从文档中阅读和进一步研究,授权应用程序的端点方式是通过对用户进行身份验证并检查用户是否为 null。我的问题是,在验证用户的过程中,Google 是否能够读取我的应用程序的 SHA1 指纹并将其授权给其客户端 ID 列表?如果可以,我该如何在我的端点中复制此过程,以便我检查发出请求的应用程序的 SHA1 指纹并将其与设置值进行比较?我不太了解端点背后的机理,所以如果我理解有误,请纠正我。