저는 최근 내 앱 엔진 보안에 관한 많은 연구를 해왔습니다. 현재, 나는 아래의 질문과 그 질문의 링크를 통해 읽어 봤는데 :내 Google App Engine API 끝점 보호
How do I restrict Google App Engine Endpoints API access to only my Android applications?
그러나, 그것은 내 문제에 응답하지 않습니다. 내 질문은 위의 질문과 유사하여 내 끝점 API에 대한 액세스를 내 앱에만 제한합니다. 그 사람은 자격 증명에 정확한 이메일을 입력 할 때 제대로 작동하는 것처럼 보였습니다.
제 질문은 자격 증명을 입력하지 않고 동일한 결과를 얻을 수 있는지입니다. 내 응용 프로그램 만 내 끝점 API를 사용하여 다른 응용 프로그램을 악용하거나 내 할당량을 사용하지 못하도록합니다. 내 안드로이드 응용 프로그램에 대한 클라이언트 ID를 이미 가지고 있으며 내 @API 주석 내에 배치했습니다. 그것이 효과가 있는지 테스트하기 위해 다른 api 클래스의 @API 표기법에서 클라이언트 ID에 임의의 값을 지정했습니다. 그러나, 내 애플 리케이션은 여전히 두 클래스에서 메서드를 사용할 수있었습니다. 어떤 도움이 필요합니까? 워드 프로세서에서 읽기 및 추가 연구에서
-Edit-
이 앱을 승인의 엔드 포인트 방법은 사용자를 인증하여 사용자가 null의 경우 확인하는 내 API입니다. 내 질문은 사용자를 인증하는 과정에서 Google이 내 앱의 SHA1 지문을 읽고 클라이언트 ID 목록에 인증 할 수 있습니까? 그렇다면 내 엔드 포인트에서이 프로세스를 복제하여 요청을하는 앱의 SHA1 지문을 확인하고이를 설정 값과 비교할 수 있습니까? 끝점 뒤에있는 메커니즘을 잘 이해하지 못하기 때문에이 잘못을 이해하는 경우 수정하십시오.
누군가가 나에게 좋은 대답을 해줄 수 있기를 바랍니다. 그러나 어려울 것으로 생각됩니다. 예를 들어 비공식 Snapchat 클라이언트가 너무 많은 이유는 비공식 앱이 Snapchat의 App Engine 끝점에 쉽게 액세스 할 수 있기 때문입니다. 할 수 있다면 Snapchat이 지금까지 조치를 취했을 것이라고 생각하고 싶습니다. –
하지만 어떻게 든 Google은 앱의 클라이언트 ID를 인증하여 사용자를 인증 할 때 API 액세스를 제한 할 수 있습니다. 어떻게 그럴 수 있죠? 좀 더 구체적인 질문을 편집 할 것입니다. – noraacee
@AayCee, 편집에 설명 된대로 작동합니까? 나는 똑같은 문제에 직면 해있다. – myanimal