我有一个GAE Java Web应用程序,我使用Google帐户验证用户并替换管理员页面。另一方面,我在管理页面中,我在JS中使用google端点后端进行了一些经过身份验证的功能。 问题是:我的用户在服务器端进行了身份验证(它在浏览器上加载受限页面)但不在JS客户端(auth受限功能不对他进行身份验证)。在客户端工作的服务器端进行身份验证是否有意义(无需再次询问凭证)?
答案 0 :(得分:0)
在一次操作中无法同时执行这两项操作,它被视为两个不同的客户端。所以我的解决方案是:
在服务器端执行auth,当auth完成时,为该用户保存一个radom令牌。
在JSP页面上发送带有对的隐藏输入字段(iduser,token)
在JS客户端上,我在每个请求中包含一个来自html页面的对(iduser,token)。
在我的google端点上,我检查每个请求是否有效,然后执行该操作......
PS:令牌可以是有效期或任何其他字段