这是一种处理Google App Engine访问的安全方式吗？

Question

我想给几个人访问我的谷歌应用程序。我可以假设他们正在使用Gmail，那么这是一个安全的程序？

我将他们的Gmail添加到数据库。然后我提取他们的电子邮件喜欢这一点，并检查它是否存在于数据库中：

UserService userService = UserServiceFactory.getUserService(); 
User user = userService.getCurrentUser(); 
String email = user.getEmail(); 
//check if email is in database 

当然我处理，他们不登录的情况下，据我所知，我的应用程序可以在其他地区的脆弱我的代码。但是这部分安全吗？

干杯，

Answer 1

使用user.getUserId（）而不是getEmail（）。用户可以更改他们的电子邮件地址，但用户ID保持不变。

Answer 2

是的，这很好 - 您可以信任UserService返回的电子邮件地址是准确的 - 只有该帐户的所有者可以进行身份​​验证并返回该值。正如Fabrizio所说，如果你可以存储用户ID而不是电子邮件，那么你就可以对用户改变他们的电子邮件地址进行强健的处理。