我的目标是拥有HTTPS安全登录服务(GWT-RPC),其余的是非HTTPS。我希望有一个非HTTPS身份验证服务,如果用户已登录并成功通过身份验证,则会检查会话。如果此操作失败,则服务应将客户端重新引导至HTTPS安全登录。我的想法是在每个服务中进行身份验证(登录服务和身份验证服务本身除外)。
所有服务都受XSRF保护(登录服务除外)。
1)对每项服务进行身份验证是否有意义? 2)有没有办法在服务器端的服务中执行此操作(到目前为止,我只找到了在客户端上执行此操作的方法)?
答案 0 :(得分:1)
在我看来这是有道理的。重要的是不要打开任何安全漏洞。
在RemoteServiceServlet中,您可以执行以下操作将请求重定向到HTTPS:
getThreadLocalResponse().sendRedirect("https://yourUrl");