Получение учетных данных при использовании веб-приложения

Question

Каков приемлемый способ получения учетных данных (логин и пароль) при использовании веб-приложения?

Я почти уверен, что они отправляются и / или интерпретируются иначе, чем остальная информация, поступающая череззапрос, и я боюсь, я не могу вспомнить, где именно я должен получить их.

К вашему сведению: запросы вынуждены https

Спасибо!

Answer 1

Если у вас включен HTTPS, отправка их вместе с запросом (обычно POST) является приемлемой, и «стандартный» способ входа в систему.

Если вы хотите проявить смекалку, вы можете хэшировать пароль, используя SHA1 на стороне клиента, чтобы даже sslstrip не открывал пароль в открытом тексте (хотя это не предотвратит атаки воспроизведения).

Answer 2

Вы используете встроенную аутентификацию или пытаетесь накатить свою? Если первое, вы не можете получить доступ к учетным данным пользователя - просто получите необходимую информацию из объекта User. Если последнее, вы можете обрабатывать учетные данные любым способом - вы катитесь самостоятельно, и у App Engine нет волшебного способа обнаружить, что вы обрабатываете имя пользователя или пароль.