【发布时间】:2014-04-23 13:53:17
【问题描述】:
谷歌应用引擎内部是否有某种权限,一旦知道 blobkey,就可以控制对 blobstore 数据的访问?
换句话说,共享 blobkey 是否安全?
【问题讨论】:
标签: google-app-engine blobstore
【发布时间】:2014-04-23 13:53:17
【问题描述】:
不,它不能。刚刚在我的一个应用中仔细检查了它,第二个应用无法通过第一个应用创建的密钥找到 blob。
【讨论】:
Google 正在远离 blobstore。现在您可以为 appid 默认存储桶使用具有免费配额的 cloudstorage。
cloudstorage 中的所有文件都可以公开。
您不能使用 blobkey 来共享 blob 文件。您总是需要一个处理程序来提供(读取)blobfiles 或使用serving_url 公开图像。如果您使用处理程序,您可以控制访问。
【讨论】:
-
没关系,但我的问题是:如果我使用 blobkey 作为 blob id,那么我将其公开(我在 html 页面等中打印它)以便创建例如链接cmets,那么如果有人知道 blobkey 可以完全访问我的 blob 资源(是的,通过 API 和它自己的应用程序)?或者对任何 blob 的访问仅限于创建它的应用程序?