我正在寻找使用wwwhisper插件向我正在构建的简单 web 应用程序添加身份验证。webapp 生成一个小的 JSON 文件,iOS 应用程序将使用该文件。我希望所有用户都能够在没有身份验证的情况下查看 JSON 文件,并且需要后端访问才能通过 wwwhisper。这可能吗?从我目前看到的情况来看,您只能指定某些 URL 可以授权给所有经过身份验证的用户。
问问题
256 次
1 回答
1
wwwhisper 允许指定不需要身份验证的 URL。您可以设置*
为访问控制规则来实现这一点(*?
规则也允许所有人,但需要身份验证)。
对此类 URL 的请求仍会转到 wwwhisper 后端进行授权检查,但后端始终授予对它们的访问权限。
此功能仅在付费计划中可用(这是因为位置对所有人开放的应用程序会在后端产生更大的负载)。
如果您不希望请求打开位置以转到 wwwhisper 后端,理论上您可以使用自定义 Rack 中间件来实现此目的,该中间件将检查路径并将请求传递给 wwwhisper 中间件,或直接传递给您的应用程序。这种模式不支持开箱即用,需要一些仔细的编码才能正确处理。这背后的原因是棘手的身份验证相关代码最好在一个地方处理。将一些身份验证检查移出身份验证后端可能是安全漏洞的来源。
于 2013-07-22T09:02:31.783 回答