#javascript #google-app-engine #authentication
#javascript #google-app-engine #аутентификация
Вопрос:
Я знаю, что appengine имеет свои ограничения в управлении сеансами, поэтому я хотел бы знать плюсы и минусы следующего:
- обработка данных JS на стороне клиента, заканчивающаяся публикацией всех данных, которые будут сохранены
- хранение данных на стороне сервера в хранилище данных
Я не учитываю memcache, поскольку он слишком изменчивый для моих нужд. Все транзакции осуществляются через https, а аутентификация осуществляется через учетные записи пользователей Google. Я склоняюсь к 1. но я хочу убедиться, что я не пропустил никаких ошибок в системе безопасности.
Спасибо
Комментарии:
1. «убедитесь, что я не пропустил никаких ошибок в системе безопасности». Как обычно: 1) вам нужно проверять все, что вы получаете от клиента. 2) вы не можете отправлять клиенту данные, которые конечному пользователю не должно быть разрешено видеть.
2. почему вы говорите, что я склоняюсь к 1, поскольку ваши пункты 1 и 2 были альтернативами?
3. @stivlo я делал 1. раньше, но не в контексте безопасности, поэтому видимость данных не была проблемой. я не делал 2. раньше.
4. @khany, хорошо, я думаю, я неправильно понял. Чтобы продолжить рекомендации, которые дал вам Thilo, также обязательно дважды проверьте авторизацию на наличие данных или операций, видимых определенному пользователю / категории пользователей.
5. Манипулирование какими данными? Этот вопрос слишком общий, чтобы отвечать на него с пользой.