Android/Appengine“匿名”访问答案

【问题标题】：Android/Appengine "anonymous" accessAndroid/Appengine“匿名”访问
【发布时间】：2015-09-18 17:29:34
【问题描述】：

我打算开发一个带有应用引擎后端的 Android 应用程序。但是，我想避免使用身份验证（使用 Google 帐户或 Open ID）。由于数据将仅从我的应用程序而不是任何其他客户端发送，并且将超过SSL connection，因此我认为数据安全且受信任。

所以我的问题有两个：

【问题讨论】：

【解决方案1】：

App Engine 应用程序只是部署在 App Engine 上的常规 Web 应用程序。如果您需要对用户进行身份验证，请执行此操作。如果你不需要，那就不要。

但是，您缺少一些东西：一旦在应用引擎上部署了网络应用，就可以从网络上的任何位置访问它，因此任何人（而不仅仅是您的应用）都可以向该应用发送请求，无论您是否使用 SSL或不。 SSL 只会使通信加密，并确保客户端他们正在与您的网络应用程序对话，而不是与伪装成您的流氓网络应用程序对话。

【讨论】：

对，但是由于我没有提供 web 客户端前端，并且通过 SSL 加密与 android 应用程序的通信，您是否看到此方案中任何可能的漏洞（即数据存储被妥协）？
如果您不提供任何 Web 前端，您将如何从 android 应用程序访问 GAE 应用程序？你必须提供一个。而且由于您无需进行身份验证即可访问它，因此任何人都可以访问它。 SSL 不对客户端进行身份验证。它对服务器进行身份验证并加密通信。
对不起，我的意思是我不提供网络浏览器前端。
如果您能够通过网络访问该应用程序，任何其他开发人员也可以。猜测 URL 并不难，特别是如果您只需要使用您的 android 应用程序并检查它执行了哪些请求。
当然可以，但是他怎么知道如何与服务器端通信呢？他无法监控“真实”连接，因为它是加密的