为什么我从谷歌appengine登录而不是ACSID获得SACSID cookie?

我有一个Android应用程序,可以对appengine应用程序进行身份validation。 我已经让它工作了一段时间,直到我提供给我的authToken(由android的AccountManager)过期,当我试图用它来获取会话cookie时导致500错误。

我现在已经使authToken无效,但之后我仍然无法进行身份validation。 但是,它不是抛出500(与无效的身份validation令牌一样),而是像成功案例一样响应 – 但不是像我期望的那样设置“ACSID”cookie,而是设置“SACSID”。 它看起来很像一个身份validationcookie(因为它具有随机性和长度),但尝试使用此cookie访问经过身份validation的资源会将我重定向到登录页面。

知道发生了什么事吗?

Solutions Collecting From Web of "为什么我从谷歌appengine登录而不是ACSID获得SACSID cookie?"

“S”是安全的!

我终于发现问题是,我从https://myapp.appspot.com/_ah/login获取cookie,但试图访问http://myapp.appspot.com/上的经过身份validation的页面。 我现在已更改为访问https://myapp.appspot.com/上的资源,它按预期工作。 我仍然不确定何时或为何改变了,并且很惊讶互联网上没有人提到过SACSID cookie …