我在 Google AppEngine (java) 上使用用户 API。
我有一个核心 servlet - /api - (JAXB Jersey 已实现),它公开了 CRUD 操作。目前,允许我定义只有登录用户才能访问它。因此,使用 OpenID 或 Google Federated Login 登录网站的用户可以通过该应用登录并访问该网站。
现在,我想向开发人员发布 API - /dev/api。我们为他们生成一个唯一的 API 密钥来访问应用程序。
如何在不损害现有功能的情况下在 HTTP 基本身份验证下公开相同的 /api 功能?App Engine 不支持自定义安全角色 ()。如何实现 HTTP 基本身份验证?我应该在 /dev/api 上使用过滤器并限制该过滤器吗?