Wenn Sie sich fragen, ob die userId, die durch den Aufruf von user.getUserId() zurückgegeben wurde, als ein Geheimnis behandelt werden soll, oder kann sie in öffentlichen URLs verwendet werden? Die Profilseiten-URLs sehen beispielsweise so aus wie Ссылка , wobei 11901930903930 die Google-generierte userId auf Appengine ist.
Dies ist die Funktion, die wir verwenden, um die userId zu erhalten:
%Vor%Tatsächlich habe ich diese Informationen bei Google gefunden und die Schlussfolgerung ist, dass nicht öffentlich verwendet werden sollte.
Von Google:
Zugriff auf Kontoinformationen
Während ein Nutzer in einer App angemeldet ist, kann die App für jede Anfrage des Nutzers an die App auf die E-Mail-Adresse oder die OpenID-Kennung des Kontos zugreifen. Die App kann auch auf eine Benutzer-ID zugreifen, die den Benutzer eindeutig identifiziert, auch wenn der Benutzer die E-Mail-Adresse für ihr Konto ändert.
Die App kann auch feststellen, ob der aktuelle Benutzer ein Administrator (ein "Entwickler") für die App ist. Sie können diese Funktion verwenden, um Verwaltungsfunktionen für die App zu erstellen, auch wenn Sie andere Benutzer nicht authentifizieren. Mit den Go-, Java- und Python-APIs können URLs einfach als "nur Administrator" konfiguriert werden.
Hinweis: Jeder Benutzer hat dieselbe Benutzer-ID für alle App Engine-Anwendungen. Wenn Ihre App die Benutzer-ID in öffentlichen Daten verwendet, z. B. indem sie in einen URL-Parameter aufgenommen wird, sollten Sie einen Hash-Algorithmus mit einem hinzugefügten "salt" -Wert verwenden, um die ID zu verschleiern. Durch das Freigeben roher IDs kann eine Person die Aktivität eines Nutzers in einer App mit der in einer anderen verknüpfen oder die E-Mail-Adresse des Nutzers abrufen, indem der Nutzer gezwungen wird, sich in einer anderen App anzumelden.
Tags und Links security google-app-engine