【发布时间】:2012-07-26 13:56:24
【问题描述】:
在应用引擎上为谷歌帐户运行身份验证非常容易。我正在寻找最简单的方法来只允许一组特定的帐户访问页面,更一般地说是资源(servlet、静态文件等)。我会对 web.xml 中的电子邮件名称硬编码列表感到非常满意。或java代码中的类似内容。灵活性不是首要任务。 上下文是一个 GWT+GAE 应用程序,只有 3 个用户可以访问。
谢谢, 马蒂亚斯
【问题讨论】:
【发布时间】:2012-07-26 13:56:24
【问题描述】:
您的 login_required 装饰器的伪代码可能如下所示。
def myuser_login_required(f):
def wrap(request, *args, **kwargs):
if not (user and user in ["allowedemail","andallowedemail"]):
return redirect()
return f(request, *args, **kwargs)
wrap.__doc__=f.__doc__
wrap.__name__=f.__name__
return wrap
【讨论】:
-
你会把这段代码放在哪里来保证每个页面访问都会首先执行?
-
在您的请求处理程序中使用它作为装饰器。
如果您愿意为这些用户授予管理权限(鉴于您的安全限制),您可以为这些资源添加安全限制。有关详细信息,请参阅the docs。您可以授予他们查看者角色,这是权限较少的角色。它还取决于您要添加到该列表中的用户数量。
【讨论】: