代码之家 › 专栏 › 技术社区 › Ray Toal

GAE user_id作为数据存储密钥的安全问题

google-account google-cloud-datastore google-app-engine python

Ray Toal · 技术社区 · 7 年前

众所周知,在谷歌云数据存储中强制执行唯一属性的唯一可靠方法是通过密钥属性。假设我们正在构建一个Google AppEngine(GAE)应用程序,使用Google Users API对用户进行身份验证,我们想创建一种称为Profile的应用程序。每个用户只能有一个配置文件。为了实现这种唯一性,将用户对象id存储为键属性是有意义的,对吗?事实上 Google App Engine User API documentation

在数据存储中使用用户值

用户ID稳定;您可以在键名或字符串属性中使用它。因此,在使用用户值时,您希望存储用户ID

但是假设我们的应用程序需要在浏览器中显示指向这些用户配置文件的超链接。是否适合使用 user.user_id() 一串用户id不应该被视为敏感信息吗?一个人的谷歌账户用户名在所有谷歌应用程序中都是相同的。泄漏到浏览器似乎不太正确,但我在GAE文档中找不到任何禁止(除非我遗漏了什么)。

现在如果用户id不应该泄露给客户端,它应该被散列吗?或者有没有其他方法来设计一种谷歌用户id应该是唯一的?

当前用户 例如,在经过身份验证的端点中。问题在于它是否可以暴露给浏览器(感觉不对),如果不能,通常如何处理资源(如博客帖子)的所有者(应用程序用户)需要在应用程序中可见的情况。

1 回复 | 直到 4 年前

Prisoner 7 年前

谷歌安全似乎可以通过浏览器公开。

谷歌+在显示用户个人资料时会在URL中使用它,并将其作为其帖子URL的一部分。

推荐文章

Itamar Cohen · 谷歌管理的SSL证书不起作用

3 年前

cozimo · 谷歌云警告:自动应用检测已被弃用,并将很快被删除

6 年前

Dannick Montanede · '响应标头必须包含标头',u'位置'

6 年前

bhavin jalodara · 如何在Google App Engine中获取26字节的非JPG图像的宽度和高度?

6 年前

tomrcht · 如何在Google App Engine中为每个服务绑定一个域/子域?

6 年前

Noah Watkins · ndb的控制索引。Expando模型属性

6 年前

Dannick Montanede · 如何用python将视频上传到google云存储

6 年前

Courtney Grimes · 作为PHP命令行运行Google App Engine?

6 年前

Roy Yin · 在Google云数据存储模型中设置默认值None或“”有什么区别?

6 年前

zanerock · 为什么Firebase无法在部署的GAE标准环境中检索登录用户?

6 年前