punkty końcowe sprawia auth łatwe i można uzyskać bieżącego użytkownika. Powinieneś użyć auth, aby zapewnić, że ludzie nie będą zadzierzgać twoich prywatnych api - w przeciwnym razie ludzie mogliby wyśledzić, jaki rodzaj postu lub otrzymasz prośby, które wysyłasz w każdym razie - auth jest zawsze dobrym pomysłem, a nie próbą utrzymania sekretu API w tajemnicy.
Jeśli tworzysz tajny produkt i nie chcesz, aby konkurent odkrył, możesz użyć metody zaciemniania na zapleczu i na kliencie, co powoduje, że apis jest nieczytelny.
Użytkownik, który włamał się do twojego apisa, nie powinien włamać się do twojej bazy danych - lub jeśli to zrobi - powinien ją złamać tylko dla użytkownika, który był głupi. Posiadanie logiki w twoim kliencie, jak używać api, aby backend nie został przerwany, jest złym pomysłem - backend apis powinien zadbać o siebie i nie martwić się o to, jak i dlaczego są używane i dla kogo w jakim celu.
Czy masz jakieś zalecenia dla danej strony administratora wniosku? Widzę coś takiego jak/_ah/spi/{nazwa klasy usługi}. {Method} .. Czy można dodać wiele programów obsługi pasujących do /_ah/spi/.*? – 12345
Zalecam, aby zaimplementować część Admin w metodach obsługi. 'endpoints.api_server' ma na celu stworzenie jednego programu obsługi dla wszystkich twoich API. – bossylobster
Ale w jaki sposób uniemożliwić komuś usunięcie całej mojej bazy danych (Datastore)? – InsaurraldeAP