- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
语境
已使用Google Cloud Endpoints(Python)创建了一个API,许多低功耗设备将使用该API进行GET / POST数据。
与API的唯一通信将来自这些自定义设备(我拥有通信的两端)。
研究
查看身份验证,希望它像使用SSL / TLS客户端证书一样简单:
无论如何,每个远程设备都将具有由单个项目CA签名的客户端证书。
Google云端点要求SSL。
但是,似乎仅支持oauth2。我正在寻找一种“干净”的方式来实现“越区切换”身份验证,理想情况下是利用客户端设备上已经具有的客户端SSL证书。
我已经研究过创建“服务” oauth2帐户,但是由于要防止某个设备欺骗其他设备(不接受所有一组凭据),我需要为每个客户端设备生成一个服务帐户,在API端维护笨重且可怕。
似乎我迫在眉睫,需要在我的代码中为每种API方法添加一层身份验证,这在某种程度上抵消了利用Google的云端点服务的观点。
问题...最后
有没有人在针对Google的云端点大规模验证“移交”机器对机器设备的经验?
有谁知道在Oauth2身份验证过程中以GCE支持的方式使用客户端证书的方法吗?
我唯一的选择是基于POST / GET标头中的某些加密数据在API方法中进行自定义身份验证。 (或者只是转向使用Apache / NGINX和客户端证书身份验证托管API?)
问候,
马特
最佳答案
我给你写了一篇文章:
考虑到Cloud Endpoints基本上存在于OSI模型的应用程序层中,因为它通过HTTPS请求进行通信(它在TLS会话中发送HTTP请求)。端点是否使用HTTP或HTTPS都不是开发人员可配置的选项-它必须是HTTPS。
它使用HTTPS,因为API服务器具有用于认证API服务器的TLS证书。在安全连接内部,还防止RPC参数和响应被窃听。这是端点与TLS“交互”的程度-它使用它来建立会话并在此会话内发送HTTP请求。
因此,已经可以告诉您,在连接建立阶段,您将无法使用TLS客户端证书(不是常用功能)来由端点自动对API客户端进行身份验证。 Endpoints API服务器根本不会查看或请求TLS客户端证书。
现在,虽然可以通过API服务器的TLS证书来确保对API服务器本身的身份验证,但可以通过Client IDs或Users API完成API客户端的身份验证,这些代码位于您的代码中,并抽象了App Engine在以下位置提供的不同身份验证选项:当下:
OAuth(2.0)
OpenID
因此,为了以两种方式之一对您的客户端设备进行身份验证并仍然利用Cloud Endpoints,您将需要为每种设备找到一种执行OAuth流或OpenID流的方法,而您的系统已经为该设备最初部署时的相应auth方法。
Google(应用程序)帐户选项
这将涉及为每个设备创建一个Google帐户(Google的统一SSO)或由自定义域管理的Google Apps帐户,并将这些帐户的凭据提供给每个相应的设备。您可以在常规here中了解有关自定义域身份验证和App Engine身份验证配置的更多信息。
OpenID选项(general doc on OpenID with GAE)
这将涉及使用pyoidc之类的OpenID连接库在GCE实例上设置自己的OpenID提供程序,以便您可以自己设置帐户,也可能涉及向每个设备的已知OpenID提供程序注册帐户。第一个解决方案更强大,但更耗时(OpenID提供程序可以暂时关闭或永久停用,然后您的IOT网络就不走运了)。
使用客户端ID的第三种选择
您当然可以生成“已安装的应用程序”客户端ID /秘密,并将其分发到网络中的每个设备。他们可以使用它来验证自己是否是网络设备(而不是攻击者的便携式计算机),然后您信任设备,以便在每个API调用中将自己的ID准确地报告为参数。根据设备的可破解程度以及打算分发它们的范围,此方案不一定会阻止设备欺骗彼此的ID,尽管根据ID生成方案的不同,您可能会很难(每个ID都很长)。足够长的哈希值)。
如果您选择这条路线并且确实对此感到担心,则可以为每个设备设置一个客户端ID,但是谁知道您是否会对每个应用程序的客户端ID数量达到某种未记录的限制,这也需要您可以手动执行此操作,也可以编写脚本来登录无头浏览器中的开发控制台并执行所需的操作。
实际使用TLS客户端证书的第四个疯狂选项
如果您确实打算同时使用TLS客户端证书进行身份验证和使用Cloud Endpoints作为API,则可以尝试在请求中发送客户端证书,因为TLS正在加密请求数据(除非您的攻击者找到了一种有效的方法解决离散离散对数的反问题,在这种情况下,他们可能会太忙于攻击更重要的目标(无攻击)并永远更改信息安全游戏),然后以某种方式在端点方法中读取和认证证书(第三方为此,可能需要使用随应用程序上传的库。
如果您对TLS客户端证书有一定的了解,则是第四个现实选择
从App Engine切换到Compute Engine,您基本上可以在同一数据中心管理和托管VM。在此框中,您可以在喜欢的任何端口上实现任何类型的连接协议,因此您可以基于连接设备的客户端证书对传入的API请求(而非端点,通知)进行TLS身份验证。
祝好运!
关于google-app-engine - 使用Google Cloud Endpoints进行机器对机器的身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27111807/
我被难住了。如果我对文件路径进行硬编码,则此脚本在我的 Windows 机器上的 Eclipse 中运行良好。如果我尝试接受参数并在我的边缘节点(一个 linux 机器)上运行它,它不会抛出任何特定的
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 关闭 8 年前。 这个问题似乎不是关于 a specific programming problem,
我们最近将我们的基础架构从 Solaris(Oracle/Sun Java) 迁移到 AIX(IBM Java)。 我们的客户将使用我们共享的算法(AES)和 key 上传加密文件,一旦加密文件放置在
我想编写一个程序(java),它接受一个文件作为输入,对其进行加密(使用aes128)并通过ftp发送该加密文件,接收者接收它并使用 key 进行解密。我是初学者,有什么帮助可以做到这一点吗?非常感谢
我正在尝试将一些为 1c2 机器 (thumb) 编译的 DLL 导入 WinMobile 6.1 C# 智能设备项目。 然而,当我尝试将它们导入我的 C# 项目时,我得到“无法添加对...的引用”,
我正在寻找 FPGA + 机器。 它应该是入门级定价(例如不超过 200 美元)。 编辑:我想制作一个 ASM 图表并将 FPGA 编程为我在图表中指定的行为 最佳答案 你看过Arduino ? 关于
这是我想完成的: Write a program that stimulates a bean machine Your program should prompt the user to enter
我尝试使用以下命令在 Windows 10 上使用 hyperv 创建一台机器: docker-machine create --driver hyperv default 但它给了我: This m
我有个问题 我的问题是我有一个将 mapred.map.tasks 配置为10的作业(抓取工具),这意味着我的工作将一次创建10个映射器。但是我的集群将 mapred.tasktracker.map.
我正在尝试使用命令重新启动 Docker sudo docker restart a7f8ce75f51f 但我收到以下错误 Error response from daemon: Cannot re
在新机器上引导 Eclipse 是一个非常耗时的过程,您最终会问自己是否真的需要每个插件。但这些都很方便,并且有助于养成一致的习惯。 Eclipse 引导问题包括: 解释/记录需要发生的事情 粘贴正确
我们希望建立一个 Docker 开发节点,我们团队中的任何人都可以将东西部署到其中。 我使用 SSH 创建了一个新的 Docker 机器,如下所示: docker-machine create \
如果可能的话,我想使用 java.util.logging 来做到这一点,有什么想法吗?谢谢。 最佳答案 您可以尝试一下SLF4J . Simple Logging Facade for Java (
当 vagrant up 时,我们的 vagrant box 需要大约 1 小时才能提供第一次运行,在配置过程的最后,我想将盒子打包到本地文件夹中的图像,以便下次需要重建时将其用作基础盒子。我正在使用
我正在为我的图像处理项目构建一个 SVM 线性机,在其中提取正样本和负样本的特征并将其保存到目录中。然后,我使用这些功能训练 SVM,但收到一个无法调试的错误。下面是我用于训练分类器的 train-c
问题描述: 我要将MySQL server 5.7.11 (win32) 安装到Windows server 2012 中。服务器中安装了多个网络接口(interface)卡,我将安装多个绑定(bin
我想安排一台 (AWS) Linux 计算机启动、运行程序,然后自行关闭(以将成本保持在最低水平)。我可以放 mycommand; shutdown 在/etc/rc.local 文件中。但如果我需要
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
如何将此文件的输出发送到另一台 Linux 计算机的主目录。 显然,我想发送此文件的输出: sed '/^\s*#/d;/^$/d' /etc/httpd/conf/httpd.conf 到 nati
我有一个 Linux 机器,我可以使用 SSH 进行 root 访问。 我想使用GDB来调试系统。 这是一个精简的 Debian 软件包;因此,我里面没有任何编译工具。 uname -a 给出: 2.
我是一名优秀的程序员,十分优秀!