限制Python App Engine中的静态文件访问
我想限制对谷歌应用引擎上静态 *html 和其他文件的访问。这样做的原因是,我的应用程序中有很多代码是用 JavaScript 写的,这些代码和 HTML 文件一起提供,我只希望授权的人能访问这些代码。
我还想限制对我使用 webapp 框架编写的 HTTP 资源的访问。理想情况下,我希望自己编写这个身份验证功能。更理想的是,我希望能用同样的身份验证来控制对静态文件的访问。
我一直在努力寻找满足这些要求的方法。根据我的了解,限制对静态文件访问的唯一方法是使用应用引擎提供的身份验证:http://code.google.com/appengine/articles/auth.html。这个解决方案的问题在于,它要求我使用应用引擎提供的身份验证方案。我已经看到这个方案的问题,因为它需要一个谷歌账号。这个要求对于我的应用来说并不合适。
另一个想法是限制对所有静态文件的访问,而是让应用程序读取这些文件,然后通过我配置的需要身份验证的 HTTP 资源发送它们。
我对什么是好的解决方案感到非常困惑。通常,这类问题的答案是现实世界应用中是怎么做的。有没有人知道这种类型的实际应用是怎么处理的?或者有没有人有想法我该如何处理这个问题?
谢谢!
1 个回答
4
使用静态处理程序的目的是为了能够直接提供文件,而不需要启动你的Python应用程序。如果你需要先运行一些自定义的身份验证逻辑,静态处理程序就不适用了。
至于实际应用,我觉得大多数人都接受他们的JavaScript和HTML是无法保护的。其实人们并没有你想象中那么想偷你的代码。