如果您不使用 Google 帐户进行身份验证，GAE/Java 是否提供任何强力保护？

Question

我正在 Google App Engine 上制作 Java Web 应用程序。

由于我没有使用 Google 帐户作为系统中的用户帐户，因此我是否需要为我的登录系统提供自己的强力保护？

或者是否有内置功能可以让事情变得更容易，或者不需要我从头开始做所有事情？

Answer 1

如果您自己进行身份验证，App Engine 就无法知道您提供的是登录表单，而不是其他任何内容，因此它无法防止暴力破解尝试。因此，您必须自己实施。

不过，作为 Google 帐户的替代方案，您应该考虑内置的 OpenID 支持。认真考虑使用其中之一 - 如果您坚持要求用户专门为您的网站从头开始创建另一个帐户，您的用户可能会受到不良服务。