使用gwt和app引擎安全地发送密码?

时间:2010-04-20 23:59:24

标签: google-app-engine

我在谷歌应用项目上设置会话处理。这应该允许我的用户跨页面登录和维护状态。我只是将它转储到默认的问候语服务中进行试用:

public class GreetingServiceImpl extends RemoteServiceServlet implements GreetingService {
    public void sessionTest(String username) {
        HttpSession session = getThreadLocalRequest().getSession(false);
        session.setAttribute("username", username);
    }
}

然后尝试在登陆project.jsp页面中将其拉出来:

<%
String username = null;
HttpSession mysession = request.getSession(false);
if (mysession.getAttribute("username") != null) {
    username = (String)mysession.getAttribute("username");
}
else {
    username = "(not logged in yet)";
}

<p>You are: 
<%= username %>
</p>
%>

它可以工作,但我不知道如何安全地在sessionTest()中发送数据。如果我也在那里发送用户的密码,那将是明确的。

如果我使用的是https,我认为这是可以的(但我认为),但谷歌应用引擎不允许您在自定义域(如www.mysite.com)下使用https,它们必须位于(mysite.appspot)之下.com)域名。

我有点被困在这里 - 我们如何安全地发送密码?如果我使用的是php,我想我可以使用摘要式身份验证(我在这里不太熟悉) - 我们可以用gwt + gae做类似的事情吗?

由于

1 个答案:

答案 0 :(得分:0)

会话数据存储在服务器上,而不是存储在客户端上 - 只有一个不透明的令牌被发送到客户端,以识别客户端的会话。

那就是说,你可能不应该在会话中存储用户的密码 - 你为什么要这样做? - 或者,事实上,根本不清楚。