【问题标题】:Google AppEngine: custom authenticationGoogle AppEngine:自定义身份验证
【发布时间】:2011-07-15 18:09:43
【问题描述】:

使用 Google 帐户在 AppEngine 中验证我的用户的方式简直太棒了。

但是,我需要使用我的自定义身份验证登录系统

我将有一个 AppUsers 表,其中包含用户名和加密密码。

我在 gae 上阅读了一些有关会话的信息,但我需要有关启动应用程序安全性的帮助。

如何跟踪经过身份验证的用户会话?设置cookie?

初学者。

【问题讨论】:

  • 您可能应该添加一个您正在使用的运行时 (Python/Java) 的标签来吸引合适的人群。并查看可以帮助您解决会话方面问题的框架
  • 有 App Engine 的会话库 - 您不确定什么?

标签: java security google-app-engine authentication


【解决方案1】:

你可以使用 cookie 来做到这一点……真的没那么难。您可以使用 cookie 跟踪用户的身份验证并将会话密钥存储在 gae 数据存储中。

有一个例子(只是展示基本思路,不保证代码可以直接使用)

基本用户表:

# simply add an property to store the session key
class User(db.Model):    
    username = db.StringProperty()
    password = db.StringProperty()
    session = db.StringProperty()

登录功能

# Do the following step:
# 1. make sure user provide correct username and password
# 2. generate a random session key 
# 3. store the session key to datastore
# 4. set the session key and user name in cookie
class LoginAPI( Webapp.RequestHandler ):   
    def get(self):
        username = self.getVar( 'username', username )
        password = self.getVar( 'password', password )

        user = User.all().filter("username = ", username).get()
        password = encrypted_the_password(password) # encrypted your password with your own method!

        if user.password == password:
             # User login successfually
             session = generate_random_session_key() # generate your session key here
             user.session = session
             user.put()

             expires_time = decide_your_expires_time() # decide how long the login session is alive.
             cookie_time_format = "%a, %d-%b-%Y %H:%M:%S GMT"
             expires_datetime = datetime.datetime.fromtimestamp(expires_time)

             # set cookie as session
             self.response.headers.add_header( "Set-Cookie", "user=%s; expires=%s; path=/" % ( user.username,expires_datetime.strftime( cookie_time_format ) ) )
             self.response.headers.add_header( "Set-Cookie", "session=%s; expires=%s; path=/" % ( user.session, expires_datetime.strftime( cookie_time_format ) ) )
        else:
             #User login failed
             pass

注销功能

# Remove the previous cookie info 
class LoginAPI( Webapp.RequestHandler ):
        def get(self):
            # remove the cookie
            self.response.headers.add_header( "Set-Cookie", "user=%s; expires=%s; path=/" % ( "",expires_datetime.strftime( cookie_time_format ) ) )
            self.response.headers.add_header( "Set-Cookie", "session=%s; expires=%s; path=/" % ( "", expires_datetime.strftime( cookie_time_format ) ) )

当您需要用户登录时

# Get the session info from cookie. If the session info match the info stored in datastore
# Then user authenticate successfully.
class SomePage(Webapp.RequestHandler):
    def get(self):
        # get cookie info
        username_from_cookie = self.request.cookies.get("user", "")
        session_from_cookie = self.request.cookies.get("session", "")

        if username_from_cookie and session_from_cookie:
            user = User.all().filter("username = ", username_from_cookie).get()
            if user.session == session_from_cookie:
                # the user is login correctly
                pass
            else:
                # the user is not login
                pass
        else:
            # the user is not login
            pass

【讨论】:

  • 真的没有必要重新发明轮子——有会话库可以为你做这件事。
  • 您能否提供有关 GAE 会话库的更多详细信息?
  • 报价。很好的答案...但是我没有提到我将使用 JAVA。 :)
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2013-06-12
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2020-04-01
  • 2022-12-10
  • 2016-02-03
相关资源
最近更新 更多