我正在开发适用于GAE Python的RESTful API,目前我正试图找出保护此API的最佳方法。我在该应用程序上拥有自己的成员/身份验证机制。
那么,最好的方法是什么呢?
那么,最好的方法是什么呢?
- 使用公钥/私钥对
- 成为OAuth提供者
- HTTP身份验证(对我来说似乎非常薄弱)
- 其他?
Google I/O 2012 - 使用Web API构建Android应用程序(与Yaniv Inbar和Sriram Saroop一起)
Google I/O 2012 - 为Android、iOS和Web构建移动应用程序引擎后端
如果您感兴趣,可以尝试在以下网址注册受信任的测试者:
首先,放弃HTTP身份验证。在真正的REST API中,它不被推荐使用,因为它驻留在cookies上。
我会选择OAuth。有一个名为appengine_oauth_provider的库,可以帮助您开始实现自己的提供程序。