是否可以有一个受密码保护的 flatpak 存储库?
我正在开发一个商业软件,目前我们仅支持 Ubuntu 20.04,并且我们托管一个经过身份验证的 apt 存储库。
我希望支持更多系统,例如:基于 RHEL、基于 SUSE 以及所有基于 Debian 的发行版,但其中一个要求是能够在需要时停止为某些用户升级软件。
使用 apt 就很简单:repo 只是一个目录结构和一个 http 服务器。
一旦用户被删除,他们就无法下载任何新更新,但我找不到有关经过身份验证的自托管 Flatpak 存储库的任何信息...
答案1
Flatpak 存储库也只是 https 访问的档案。
因此,请通过为订阅者提供唯一的 URL 来验证他们的身份。这可以通过简单的方式来实现,例如允许 Web 服务器跟踪磁盘上实际存储库的符号链接。
网络安全方面,这与任何基于 HTTP 和 TLS 进行基本身份验证的 Debian 存储库(或任何其他网站)一样好:服务器(在本例中为 URL 的秘密部分)仅以加密方式传输。实际上,由于该 URL 在客户端上可见,因此它让所有在终端机器上使用 flatpak 的人都知道该秘密。