我将开发匿名用户和注册用户可访问的网站。计划安全架构类似于让我们说YouTube和其他大多数“web 2.0”网站。记录用户可以访问更多功能,更多数据等。实现该功能的最佳方法是什么? 我正在考虑创建简单的服务,将随机会话代码返回给客户端,并将会话对象添加到单例应用程序对象。当用户提供凭证时,我将在其会话对象中更改参数“logged”。会话令牌将作为每个请求中的一个参数传递,如果用户是否注册,服务将改变其行为(即,仅返回“公共”数据或仅限制内容) 这是好方法,还是我应该使用不同的东西?
答案 0 :(得分:3)
GWT安全性没有任何本质上的不同,它与JSP,PHP,ASP,ROR等相同......,即Web应用程序安全性。
服务器端已经有一个会话机制,可以生成安全的随机会话cookie,并使用它。作为奖励,它会处理会话过期以及您自己推出时必须处理的其他事项。
您的服务器调用实现应检查服务器会话以获取当前用户信息,并确定用户是否有权执行该操作。同样,除了与请求标头一起自动发送的会话cookie之外,您的RPC信息不应包含有关进行调用的用户的任何信息。您存储的任何内容(例如用户是否已登录)都应位于服务器端会话中。
当然,您需要在客户端上执行某些操作,以使用适当的用户界面显示登录和匿名用户。但这是不安全性,只能提供一致的界面。所有安全性都在服务器端。