webapp2セッションを使用したGoogle Cloud Endpoints認証

Question

Google Cloud Endpoints APIのクライアントは、エンドポイントAPI自体と同じGoogle App EngineアプリケーションでホストされるJavaScript（AngularJS）Webアプリケーションです。ユーザーはwebapp2 sessions（データストア）を使用して認証します。必ずしもGoogleアカウントを持っているとは限りません。 /api/users/meのようなEndpoints APIへのリクエストは、現在ログインしているユーザーのユーザーデータを返します。

まず、私はApp EngineアプリケーションのOAuth2プロバイダーを実装しなければならないと思っていました。 AngularJSアプリケーションで、独自のApp Engine OAuthプロバイダ（GoogleのOAuthプロバイダではなく、組み込みの認証メカニズムのような）からOAuth2アクセストークンをリクエストさせます。

しかし、this commentは、独自のOAuth2プロバイダを実装するのではなく、エンドポイントAPIに対するリクエスト（メッセージフィールドまたはHTTPヘッダー）で任意のパラメータを提供することを提案しています。私はそのパラメータは、ユーザートークン（いくつかの暗号化された値は、ログインユーザーに固有のものでなければならないと思います）。その値はブラウザに渡されます。それは安全ではないですか？可能であれば（コストを節約するために）私のAngularJSアプリケーションをHTTPSに提供しないことを望みます。

これはOAuth2の良い使用例ですか？または、OAuth2は、サードパーティのアプリケーションにユーザデータへのアクセスを許可する場合にのみ使用できますか？

OAuth2は、ユーザートークンをブラウザに安全に渡し、man-in-the-middle攻撃を防ぐ方法です。特定の時間が経過した後にユーザートークンが期限切れになる必要がありますか？

Answer 1

私はちょうどあなたが記述したものを正確に実装し終えました。基本的に、この方法は、トリックを行います。

def get_current_session(request_state): 
    cookies = werkzeug.http.parse_cookie(request_state.headers.get('Cookie')) 
    sess_cookie = cookies.get('mc_session') 
    parts = sess_cookie.split('|') 
    if len(parts) != 3: 
     logging.error('Cookie does not have 3 parts') 
     return False 

    signature = hmac.new(COOKIE_SECRET_KEY, digestmod=hashlib.sha1) 
    signature.update('|'.join(parts)) 
    sig_hex = signature.hexdigest() 
    if compare_hashes(sig_hex, parts[2]): 
     logging.error('Cookie signature mismatch!') 
     return False 

    cookie_data = webapp2_extras.json.b64decode(parts[0]) 
    return sessions_ndb.Session.get_by_sid(cookie_data['_sid']) 

そして、あなたはあなたのAPIメソッドから使​​用していることを呼びたい：

session = get_current_session(self.request_state) 

あなたはですべての詳細を見つけることができます：私の他のコメントを明確にするためhttps://blog.artooro.com/2014/08/21/share-sessions-between-google-cloud-endpoints-and-webapp2/