Безопасность GoogleAppEngine Java WebService

Question

Я работаю над небольшой игрой на Java (использую JApplet) и хочу реализовать рекорды и достижения.

У меня нет выделенного сервера, поэтому я решил использовать GoogleAppEngine для хранения данных игрока и после генерации рекордов и достижений. Я уже узнал, как создавать веб-сервисы в GoogleAppEngine, но у меня есть вопрос, касающийся безопасности ...

Я не хочу, чтобы посторонние люди звонили на мой WS ... Какую защиту я могу внедрить, чтобы другие люди не могли использовать этот WS, там мог публиковать только авторизованный клиент (мой апплет). *

Возможно, мой апплет будет размещен на моей личной веб-странице, а WS будет работать в GoogleAppEngine.

Заранее спасибо, Serhiy.

Answer 1

Поскольку люди не собираются напрямую обращаться к вашему приложению GAE, логин Google и пользовательский сервис могут быть не очень эффективными ... так что вы, возможно, захотите взглянуть на более обычную безопасность.

Есть один способ - подписать все запросы закрытым ключом в апплете и проверить их с помощью открытого ключа в GAE.Проблема с этим способом состоит в том, что вам придется хранить закрытый ключ в апплете, который (я предполагаю) может быть взломан и украден.

Вы также можете исследовать, используя ограничения междоменной безопасности.на апплетах ... отправьте апплет обратно на сервер, с которого он пришел, и заставьте этот сервер связываться с GAE с подписанными запросами.

Вы также можете посмотреть на использование безопасности на основе HTTP_REFERER - принимать только запросы, исходящие из вашего домена хоста.