我的google应用程序引擎部署的源代码安全吗？

Question

我在考虑good ways to store third party credentials，这基本上意味着需要在某个地方有一个秘密，无论是在代码中还是在数据中。我正在谷歌应用引擎上部署。

如果“秘密”是这样的话

pw_passphrase = sha2(username + 'global-password')
pw_plaintext = aes_decrypt(pw_passphrase, pw_ciphertext)

我可以相信这段代码永远不会被非appengine管理员看到吗？

...what如果凭据保护了一些超敏感的东西，比如个人财务数据，我们还会相信它吗？

( sha2位可与任何其他秘密pseudo-random function交换。)

Answer 1

是的:你的源代码是安全的(就像谷歌所能做到的那样安全)，并且没有办法让未经授权的第三方偷看。

Answer 2

还要记住使用错误页面处理代码中的异常，否则抛出的异常可能会将源代码暴露给未签名的用户。