有没有办法保护谷歌云端点原型数据存储？

Posted 2023-02-16

【中文标题】有没有办法保护谷歌云端点原型数据存储？

【英文标题】：Is there a way to secure Google cloud endpoints proto datastore?

【发布时间】：2015-01-27 12:24:03

【问题描述】：

我的设置：

Python，使用 endpoints_proto_datastore 的谷歌应用引擎 ios，端点 Obj-C 客户端库生成器

背景

我已经设置了一个测试谷歌云端点 api 并让它运行得非常快。它工作得很好，在 iOS 模拟器中使用测试应用程序，并使用 Google 的 APIs Explorer。 API 目前对所有人开放，无需身份验证。

我想：设置一个可供应用使用的 API 密钥或系统凭据，以确保它单独可以访问 api - 拒绝所有其他人。

Google Endpoints Auth 文档 (1) 中的方法是使用 Google Developers Console (2) 创建 OAuth 2.0 客户端 ID。因此，我为类型为 iOS 的已安装应用程序创建了一个 ID。到目前为止一切顺利。

在应用程序中，GTLService 对象如下所示...

-(GTLServiceDemogaeapi *)myApiService 
    GTMOAuth2Authentication *auth = [[GTMOAuth2Authentication alloc] init];
    auth.clientID = @"10???????????????????ie.apps.googleusercontent.com";
    auth.clientSecret = @"z????????????3";
    auth.scope = @"https://www.googleapis.com/auth/userinfo.email";

    static GTLServiceDemogaeapi *service = nil;
    if (!service) 
        service = [[GTLServiceDemogaeapi alloc] init];
        service.authorizer = auth;
        service.retryEnabled = YES;
        [GTMHTTPFetcher setLoggingEnabled:YES];
    
    return service;
 

在 GAE 上，我指定了 (allowed_client_ids 并在方法中添加了用户检查...

@endpoints.api(name='demogaeapi', version='v1',
               allowed_client_ids=['10?????????????ie.apps.googleusercontent.com',
               endpoints.API_EXPLORER_CLIENT_ID],
               scopes=[endpoints.EMAIL_SCOPE],
               description='My Demo API')
class MyApi(remote.Service):

    @TestModel.method(path='testmodel/id', name='testmodel.insert', http_method='POST')
    def testModelInsert(self, test_model):

        current_user = endpoints.get_current_user()
        if current_user is None:
            raise endpoints.UnauthorizedException('Invalid token.')

问题

current_user 始终为 None，因此该方法将始终引发异常。这似乎是一个已知问题问题 8848：Google Cloud Enpoints get_current_user API 没有填充 user_id (3)，很快就没有修复的希望。

选项？

等到谷歌修复问题 8848。真的不能，我们有产品要发布！

编辑：2015 年 5 月 15 日 - Google 将问题 8848 设为 WontFix。

我发现可以使用 API 密钥，但是虽然我已经能够创建一个，但我还没有找到在后端启用它的方法。我还注意到这种方法有一个很大的漏洞，Google 的 API 资源管理器可以击败它请参阅 SO question (4)。

此处描述的 (5) 的 @endpoints.api 参数：auth_level 是否提供了答案？我尝试使用：

@endpoints.api(name='demogaeapi', version='v1',
       auth_level=endpoints.AUTH_LEVEL.REQUIRED,
       scopes=[endpoints.EMAIL_SCOPE],
       description='My Demo API')

但能够在不使用凭据的情况下使用客户端应用程序中的 api。所以它显然没有添加任何身份验证。

向持有共享密钥的客户端查询添加 hiddenProperty。正如 bossylobster here (6) 和 Carlos here (7) 所述。我试过了，但看不到如何获取原始 request 对象（另一个问题的主题 How to get at the request object when using endpoints_proto_datastore.ndb?）。

@TestModel.method(path='testmodel/id', name='testmodel.insert', http_method='POST')
def testModelInsert(self, test_model):

    mykey,keytype = request.get_unrecognized_field_info('hiddenProperty')
    if mykey != 'my_supersecret_key':
        raise endpoints.UnauthorizedException('No, you dont!')

编辑：另一个选项浮出水面：

使用 Google Developers Console 创建一个服务帐户 (2)。使用此帐户无需用户同意（通过 UI）即可访问 API。但是，Google 似乎将可以通过这种方式添加的应用程序数量限制为 15 或 20 个。请参阅 Google OAuth2 doc (8)。我们可能会超过限制。

问题

有谁知道我怎样才能使这些选项中的任何一个起作用？或者我应该以不同的方式解决这个问题？

如您所见，我需要指导、帮助和想法...

---

因为我需要 10 个声望才能发布 2 个以上的链接：这是我必须提取并添加为参考的链接。确实有点破坏了问题的流程。

cloud.google.com/appengine/docs/python/endpoints/auth console.developers.google.com/ code.google.com/p/googleappengine/issues/detail?id=8848 ***.com/a/26133926/4102061 cloud.google.com/appengine/docs/python/endpoints/create_api ***.com/a/16803274/4102061 ***.com/a/26133926/4102061 developers.google.com/accounts/docs/OAuth2

【问题讨论】：

这是一个经过充分研究的问题。谢谢。我目前正在仔细阅读并进行一些研究，但只是感谢您使用大量相关信息清楚地列出您的问题。我觉得如果我们可以共同努力得到这个答案，这可能是未来用户参考的一个很好的问题，这就是 SO 应该做的。

这对我来说仍然是一个悬而未决的问题，我们的 API 需要安全。我一直忙于一个不同的模块，现在是时候回到这个话题了。所以我目前的想法是选项 4，bossy lobster 建议的 hiddenProperty，最有希望。你有什么想法？

我也遇到了这个问题，并且会（非常）对答案感兴趣。此时，我正在使用一种解决方法，即客户端在应用程序级别（通过 HTTPS）传递 API 密钥（随机字符串），并且服务也在应用程序级别对其进行检查。

您是否尝试过***.com/questions/16661109/… 答案中的解决方法？

Alex - 现在看起来很有趣，我必须通读几遍才能掌握这些选项。我们最终改变了产品的架构概念，从而减少了对端点的需求。

【参考方案1】：

一个很好的问题和一个真正的问题。我通过拥有自己的“用户”数据库表来解决它。 Long 键（我使用 Java）是在写入时自动生成的，这是我从那时起用来唯一标识用户的值。还写入该表的还有 Google ID（如果通过网页调用则提供）、电子邮件地址和 iOS ID（在未登录 Google 帐户的情况下使用 iOS 应用时）。

当我的 AppEngine 端点被调用时，我使用User 参数（只是登录客户端的经过身份验证的电子邮件地址）或单独的可选iosid 参数中存在的信息为了从所述表中获取我的内部用户 ID 号并从那时起使用它来唯一标识我的用户。

我也使用同一个表来存储其他用户特定的信息，所以这与尝试使用 current_user 作为主键没有什么不同，除了我必须创建三个字段（googleid、电子邮件、 iosid) 为查找编制索引。