我正在爲客戶端重構一個應該支持OpenID,Facebook Connect和自定義驗證(電子郵件+密碼)的應用程序。 假設我有:支持在AppEngine上多次登錄的最佳方式
class MyUser(db.Model):
pass
class Item(db.Model):
owner = db.ReferenceProperty(MyUser)
我想實現不同的身份驗證系統是這樣的:
class OpenIDLogin(db.Model): # key_name is User.federated_identity()? User.user_id()?
user = db.ReferenceProperty(MyUser)
class FacebookLogin(db.Model): # key_name is Facebook uid
user = db.ReferenceProperty(MyUser)
class CustomLogin(db.Model): # key_name is the user email
user = db.ReferenceProperty(MyUser)
password = db.StringProperty()
有沒有更好的解決辦法?已經有一個答案here但我不明白,如果這對我來說是正確的解決方案。 我已經開發了一個應用程序,使用用戶API和另一個使用Facebook Connect過去,所以我知道如何處理這兩個問題,問題是將它們連接在一起。不幸的是切換到另一個框架不是一種選擇。
Facebook現在使用OAuth 2.0的草稿版本,該版本取決於https以確保安全。注意:App Engine的URL Fetcher服務目前不驗證https證書,這意味着您的應用程序將容易受到中間人和DNS中毒攻擊;可能會暴露您的Facebook密鑰。您必須自己決定是否認爲某人可能成功在Google的URL Fetcher計算機上發起這樣的攻擊,以及這樣的密鑰泄漏是否可以接受。 – 2010-11-17 01:35:42
這是在幾個月內我的路線圖,所以我會很感激一個答案。 – mjhm 2010-11-17 01:44:51
@Forest。感謝您的高舉。如果我正確理解了GAE服務器和Facebook服務器之間存在的潛在威脅。這不是用戶級別的「星巴克WiFi」威脅。那是對的嗎? – mjhm 2010-11-17 01:52:33