使用Google App Engine安全登录您的域名

Question

我们正在启动一个非常大的基于web的服务项目。我们正在尝试决定使用哪种托管环境。出于可伸缩性的原因，我们真的很想使用Google App Engine，并且消除了自己处理服务器的需要。

安全登录/注册对我们非常重要，就像使用我们自己的域一样。我们的目标受众不是很精通电脑。出于这个原因，我们不希望用户必须注册OpenID，因为这不能在我们的网站内完成。我们也不想强迫我们的客户与谷歌签约。

据我所知，我运气不好。我希望对这个问题有一个明确的答案。我是否可以通过我们的域访问我们的网站，而不必将客户发送到另一个网站进行登录(OpenID/Google)。

谢谢。

Answer 1

2012年6月27日，App Engine自定义域名支持SSL。

http://googleappengine.blogspot.com/2012/06/google-app-engine-170-released-at.html

Answer 2

最困难的部分是绕过cookie问题。虽然您可以对https://yourdomain.appspot.com进行安全和自定义登录，但不能在那里设置适用于http://yourdomain.com的cookie。

以下是我的建议：

当您需要用户登录时，将其发送到https://yourdomain.appspot.com。如果他们正确输入凭据，请创建一次性令牌，并将其放在数据存储区或memcache中。给它几秒钟的生命周期。

然后将用户重定向回http://yourdomain.com/authenticate?token=mytoken (显然可以适当地替换名称)，检查以确保令牌有效且未过期，如果一切都已清除，则设置适当的cookie并使令牌过期。

我想那会很好的。希望它能帮上忙！

Answer 3

没有什么可以阻止您使用Google App Engine创建自己的身份验证/注册机制。唯一的问题是，谷歌应用引擎目前只支持通过https://yourid.appspot.com的HTTPS，而不是你的谷歌应用域名(即https://www.foobar.com)。但是，这在产品roadmap上是为了将来的支持(第三方域的SSL)。请注意，产品路线图中还包含对OAuth和OpenID的内置支持。

更新：另一种选择可能是使用代理服务器(如带有mod_proxy的Apache )，并将您的域映射到代理服务器，然后代理服务器可以将HTTPS和HTTPS请求代理到Google App Engine。这些请求可以在幕后代理到appspot.com域。我实际上还没有这样做，但我相信它应该能行得通。但是，这将在代理服务器上提供单点故障，这基本上违背了Google App Engine的高可用性和可伸缩性的目的。这肯定只是一个短期的解决方案，除非谷歌支持第三方域名或OpenID的SSL。