是否有必要在 AppEngine 标准 Python 3.7 运行时中验证来自 IAP 的签名标头?
IAP 文档没有提及 Python 3.7 运行时的细节。
IAP文档说:
- AppEngine 标准版应使用用户 API
- 需要验证才能保护 AppEngine Flex 中的应用程序
用户 API 不适用于 Standard 3.7。签名的标题是。验证标题是可能的。
我可以看到 AppEngine 环境添加了一些标头。我想知道是否可以隐式信任 X-Appengine- 值(即,AppEngine 在验证 IAP 的标头后是否附加这些值)?
X-Appengine-User-Id: <user id>
X-Appengine-Auth-Domain: <domain>
X-Appengine-User-Email: <user email>
...
X-Goog-Iap-Jwt-Assertion: <assertion>
X-Goog-Authenticated-User-Email: accounts.google.com:<user email>
X-Goog-Authenticated-User-Id: accounts.google.com:<user id>