Как защитить доступ к SPA в Google App Engine

У меня есть приложение SinglePageApplication, написанное на HTML5, Javascript и jQuery. В настоящее время с ним вообще не связана никакая внутренняя обработка - все на стороне клиента. Я размещаю его на уровне бесплатного пользования Google App Engine.

Я хочу добавить к этому некоторую безопасность, чтобы только известные пользователи могли получить доступ к приложению. Есть ли стандартный способ Google сделать это? Или любой другой стандарт?

SQL Injection: Атаки в реальной жизни и как это вредит бизнесу
SQL Injection: Атаки в реальной жизни и как это вредит бизнесу
Один-единственный вредоносный запрос может нанести ущерб вашему бизнесу. Уязвимости вашего кода могут привести к:
2
0
52
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Ответ, скорее всего, будет зависеть от того, как вы хотите аутентифицировать пользователей. Пара вариантов:

  1. Настройте Прокси-сервер с поддержкой Cloud Identity перед своим приложением, это действительно быстро и легко. Вам потребуется, чтобы у каждого человека была учетная запись Google, которую вы добавите в настройки прокси в консоли.

    Пользователям будет предложено указать, какую учетную запись Google использовать для разрешить доступ:

    Sign in

    Если пользователя нет в списке разрешенных, он увидит что-то вроде:

    Not allowed user

    1. Если вы доверяете своим пользователям, вы можете добавить их в проект консоли GCP с разрешениями viewer, а затем использовать обработчик login: admin в своем обработчике app.yaml. Эти пользователи не смогут изменять ваш проект, но смогут просматривать ресурсы в нем, так что будьте осторожны.

    2. Встраивайте удостоверение в свое приложение напрямую с помощью Проверка подлинности Firebase, который обрабатывается на стороне клиента, если вам не нужны долгоживущие токены доступа / обновления. У него есть бонус в виде поддержки ряда поставщиков удостоверений (Facebook, Twitter и т. д.), Но он требует больше работы. Можно рассмотреть это в зависимости от того, где вы ожидаете, что ваше приложение будет развиваться в будущем.

    3. Используйте другие инструменты с открытым исходным кодом для реализации системы идентификации / аутентификации.

спасибо за такой подробный ответ - он не только дает мне несколько вариантов, но и дает мне возможность перехода с альфа-версии на бета-версию :)

DaveH 10.09.2018 09:33

4. Используйте различные доступные инструменты с открытым исходным кодом для реализации входа в систему oauth2. Вот один пример: github.com/authomatic/authomatic

gaefan 10.09.2018 14:56

Другие вопросы по теме