我的 Google Apps 帐户中有两个 Google Apps 脚本。两者都已发布为具有以下设置的 web 应用程序。
脚本 A:
像我一样执行
谁有权访问网络应用程序:XXXXXXX.com 内的任何人
脚本 B:
以访问应用程序的用户身份执行
谁有权访问网络应用程序:XXXXXXX.com 内的任何人
我想让脚本 B 使用 UrlFetchApp 来执行脚本 A。如何将脚本 B 验证到脚本 A?
注意:
脚本 A 用于从只有我有权访问的电子表格中获取\写入数据。由于我的 Google Apps 域管理员 不允许域外共享,我无法设置对网络应用的匿名访问。
【问题讨论】:
标签: google-apps-script google-apps
我想让脚本 B 使用 UrlFetchApp 来执行脚本 A。如何将脚本 B 验证到脚本 A?
即使脚本 A 设置为允许任何人访问它,我们的目标是保护它,以便只有脚本 B 能够发出有效请求。这可以使用脚本 A 和脚本 B 都可以访问的共享密钥轻松完成。当脚本 B 向脚本 A 发出请求时,它只需要包含密钥即可。脚本 A 可以拒绝任何不包含密钥的请求。
只有能够查看脚本 A 或脚本 B 的源代码的人才能找到密钥。当然,任何获得秘钥的人都可以冒充脚本B。
作为进一步的增强,您可以使用Utilities.computeHmacSha256Signature() 方法来避免将密钥作为请求的一部分发送。两个脚本仍然需要知道密钥,但您可以让脚本 B 计算 签名 并将其作为请求的一部分而不是密钥本身发送。
【讨论】:
没有匿名访问是不可能的。 您可以假装自己是浏览器,即查看您的浏览器在您运行 web 应用程序时发送的内容并发送相同的标头/cookie 等,但这并不是真正受支持的方式。
【讨论】: