我想在我的appengine应用程序中实现自定义用户身份验证系统。我不想使用会话。我是这个领域的新手,所以我有两个基本问题:
1:通过https发送每个RPC的用户名和密码是否安全?我需要做些什么来保证客户端的用户名和密码安全?
2:如何告知GWT在发出请求时使用https?
我对安全性知之甚少,所以请不要遗漏任何“明显”的细节。
谢谢!
答案 0 :(得分:5)
使用firebug观察进程显示所有RPC都发生在与请求主机页面相同的协议上。这似乎是同一站点原始规则所必需的,所以我将假设我的答案是
1:是的,但速度较慢
2:当请求主机页面w / https
时,GWT自动使用https答案 1 :(得分:2)
答案 2 :(得分:1)
在GAE上,您还可以使用Google用户服务API http://code.google.com/appengine/docs/java/users/overview.html。它非常直观,您无需了解安全细节。