API е бекенд към мобилно приложение. Нямам нужда от удостоверяване на потребителя. Просто имам нужда от начин да осигуря достъп до този API. В момента бекендът ми е разкрит.
документацията изглежда говори само за удостоверяване и упълномощаване на потребителите, което не е от какво имам нужда тук. Просто трябва да се уверя, че само моето мобилно приложение може да общува с този бекенд и никой друг.
Да, можете да направите това: използвайте удостоверяване, за да защитите вашите крайни точки, без да извършвате удостоверяване на потребителя.
Открих, че този начин на правене не е добре документиран и всъщност не съм го правил сам, но възнамерявам да го направя, така че обърнах внимание, когато видях, че се обсъжда в някои от видеоклиповете на IO13 (мисля, че това е мястото, където видях го):
Ето моето разбиране за това:
Ще добавите тези клиентски идентификатори към списъка с приемливи идентификатори за вашите крайни точки. Ще добавите потребителския параметър към вашите крайни точки, но той ще бъде нулев, тъй като не е посочен потребител.
@ApiMethod(
name = "sendInfo",
clientIds = { Config.WEB_CLIENT_ID, Config.MY_APP_CLIENT_ID, Config.MY_DEBUG_CLIENT_ID },
audiences = { Config.WEB_CLIENT_ID }
// Yes, you specify a 'web' ID even if this isn't a Web client.
)
public void sendInfo(User user, Info greeting) {
Тук има прилична документация за горното: https://developers.google.com/appengine/docs/java/endpoints/auth
Вашето клиентско приложение ще посочи тези клиентски идентификационни номера, когато формулира извикването на услугата за крайна точка. Всички подробности за OATH ще бъдат обработени зад кулисите на вашето клиентско устройство, така че вашите клиентски идентификатори да бъдат преведени в токени за удостоверяване.
HttpTransport transport = AndroidHttp.newCompatibleTransport();
JsonFactory jsonFactory = new JacksonFactory();
GoogleAccountCredential credential = GoogleAccountCredential.usingAudience( ctx, Config.WEB_CLIENT_ID );
//credential.setSelectedAccountName( user ); // not specify a user
Myendpoint.Builder builder = new Myendpoint.Builder( transport, jsonFactory, credential );
Този клиентски код е само най-доброто ми предположение - съжалявам. Ако някой друг има справка за това как точно трябва да изглежда клиентският код, тогава и аз ще се интересувам.
Съжалявам, че трябва да кажа, че Google не предлага решение за вашия проблем (което е и мой проблем). Можете да използвате техния механизъм за API ключ (вижте https://developers.google.com/console/help/new/#usingkeys), но има огромна дупка в тази стратегия, предоставена от собствения API Explorer на Google (вижте https://developers.google.com/apis-explorer/#p/), което е страхотен инструмент за разработка за тестване на API, но разкрива всички API на крайни точки на облак , а не само API на услугите на Google. Това означава, че всеки с името на вашия проект може да преглежда и извиква вашия API в свободното си време, тъй като API Explorer заобикаля сигурността на API ключа. Намерих заобиколно решение (въз основа на страхотния отговор на bossylobster на тази публикация: Simple Access API (Developer Key) with Google Cloud Endpoint (Python) ), който трябва да подаде поле за заявка, което не е част от дефиницията на заявка за съобщение в API на вашия клиент, и след това да го прочете във вашия API сървър. Ако не намерите недокументираното поле, вие предизвиквате неразрешено изключение. Това ще запуши дупката, създадена от API Explorer. В iOS (което използвам за приложението си) добавяте свойство към всеки клас на заявка (тези, създадени от инструмента за генериране на API на Google) по следния начин:
@property (copy) NSString *hiddenProperty;
и задайте стойността му на ключ, който изберете. Във вашия сървърен код (python в моя случай) проверявате за неговото съществуване и barf, ако не го виждате или не е зададен на стойността, за която вашият сървър и клиент ще се съгласят:
mykey,keytype = request.get_unrecognized_field_info('hiddenProperty')
if mykey != 'my_supersecret_key':
raise endpoints.UnauthorizedException('No, you dont!')
Надяваме се, че това ви поставя на прав път
Документацията е само за клиента. Това, от което се нуждая, е документация за това как да осигуря функционалност на акаунта на услугата от страната на сървъра.
Това може да означава няколко различни неща, но бих искал да обърна внимание на това, което според мен задава въпросът. Ако искате само вашият акаунт за услуга да има достъп до вашата услуга, тогава можете просто да добавите clientId на акаунта за услуга към вашите @Api/@ApiMethod анотации, да създадете GoogleCredential и да извикате услугата си, както обикновено. Конкретно...
В конзолата за разработчици на Google създайте нов акаунт за услуга. Това ще създаде .p12 файл, който се изтегля автоматично. Това се използва от клиента в документацията, към която сте се свързали. Ако не можете да защитите .p12, тогава това не е много по-сигурно от парола. Предполагам, че това е причината това да не е изрично посочено в документацията на Cloud Endpoints.
Добавяте ИД на КЛИЕНТ, показан в конзолата за разработчици на google, към клиентските идентификатори във вашата анотация @Api или @ApiMethod
import com.google.appengine.api.users.User
@ApiMethod(name = "doIt", scopes = { Constants.EMAIL_SCOPE },
clientIds = { "12345678901-12acg1ez8lf51spfl06lznd1dsasdfj.apps.googleusercontent.com" })
public void doIt(User user){ //by convention, add User parameter to existing params
// if no client id is passed or the oauth2 token doesn't
// match your clientId then user will be null and the dev server
// will print a warning message like this:
// WARNING: getCurrentUser: clientId 1234654321.apps.googleusercontent.com not allowed
//..
}
Създавате клиент по същия начин, както бихте направили с незащитената версия, като единствената разлика е, че създавате обект на GoogleCredential, който да прехвърлите към MyService.Builder на вашата услуга.
HttpTransport httpTransport = new NetHttpTransport(); // or build AndroidHttpClient on Android however you wish
JsonFactory jsonFactory = new JacksonFactory();
// assuming you put the .p12 for your service acccount
// (from the developer's console) on the classpath;
// when you deploy you'll have to figure out where you are really
// going to put this and load it in the appropriate manner
URL url = getClass().class.getResource("/YOURAPP-b12345677654.p12");
File p12file = new File(url.toURI());
GoogleCredential.Builder credentialBuilder = new GoogleCredential.Builder();
credentialBuilder.setTransport(httpTransport);
credentialBuilder.setJsonFactory(jsonFactory);
//NOTE: use service account EMAIL (not client id)
credentialBuilder.setServiceAccountId("12345678901-12acg1ez8lf51spfl06lznd1dsasdfj@developer.gserviceaccount.com"); credentialBuilder.setServiceAccountScopes(Collections.singleton("https://www.googleapis.com/auth/userinfo.email"));
credentialBuilder.setServiceAccountPrivateKeyFromP12File(p12file);
GoogleCredential credential = credentialBuilder.build();
Сега извикайте генерирания си клиент по същия начин, по който бихте направили незащитената версия, с изключение на това, че създателят взема нашите идентификационни данни на Google от по-горе като последен аргумент
MyService.Builder builder = new MyService.Builder(httpTransport, jsonFactory, credential);
builder.setApplicationName("APP NAME");
builder.setRootUrl("http://localhost:8080/_ah/api");
final MyService service = builder.build();
// invoke service same as unsecured version
