我用Google App Engine编写了一个简单的登录系统,我想确保管理员(可以访问整个管理信息中心)看不到用户提交的密码。具体来说,我关心的是日志。是否使用POST(与GET相反,由于显而易见的原因很糟糕)足以将密码之类的参数保留在日志之外?如果没有,我该怎么做?
由于
答案 0 :(得分:1)
首先,你必须确保这个不是非常值得信赖的人具有“观众”的角色。在你的应用程序中具有开发人员或所有者角色的用户可以看到他想要的任何内容。例如,他可以上传新版本的应用程序(可能与您的应用程序无关),该应用程序将从数据存储区加载所有密码并通过电子邮件将其发送到某个地方。或者这个应用程序会询问用户密码并将其发送到某个地方。
其次,除非您专门为记录密码(或任何其他POST参数)添加代码,否则App Engine日志将不包含此信息。
您可能会发现这篇文章很有趣:Demystifying the App Engine request logs