Я пробежал по примеру Google с использованием Authsub для получения данных фида Google (http://code.google.com/appengine/articles/python/retrieving_gdata_feeds.html)
Если я правильно понимаю, злоумышленник может позвонить на 'next_url' (который служба Google Auth вызывает с помощьюваш токен) и внедрить свой собственный токен?
Это означает, что они могут заставить веб-приложения писать в учетную запись Google Doc Hackers вместо аутентифицированного пользователя!
Кто-нибудь знает, какчтобы обезопасить этот URL, чтобы его мог вызывать только сервис аутентификации Google?
Ниже приведен код, на который я ссылаюсь:
def get(self):
next_url = atom.url.Url('http', settings.HOST_NAME, path='/step1')
# Initialize a client to talk to Google Data API services.
client = gdata.service.GDataService()
gdata.alt.appengine.run_on_appengine(client)
# Generate the AuthSub URL and write a page that includes the link
self.response.out.write("""<html><body>
<a href="%s">Request token for the Google Documents Scope</a>
</body></html>""" % client.GenerateAuthSubURL(next_url,
('http://docs.google.com/feeds/',), secure=False, session=True))