GWT RPC Cookie身份validation

我在我的glassfish服务器上使用gwt,并且我试图通过cookievalidation我的一些RPC调用。 这可能吗? 有没有关于如何编码的例子?

仅依赖于用于身份validation的cookie将使您的网站/服务容易受到跨站点请求伪造/ XSRF / CSRF攻击 – 请阅读有关GWT应用程序安全性的更多内容。

最好的方法是仔细检查从cookie获得的值以及通过其他方式传输到服务器的值 – 作为请求的一部分(标题,自定义字段等)。

除此之外,还有很多关于这个主题的教程 – 只是搜索Java(servlet)认证 – 它不必是特定于GWT的。 Google Web Toolkit Group也有许多关于 该 主题的主题 。

我假设您使用GWT的RPC servlet来处理客户端发出的请求。

我想到的一个选项是编写和配置一个ServletFilter,它可以在请求到达GWT的servlet之前检查cookie。

你可能会重新考虑使用cookies,因为它是一个潜在的安全漏洞。 为什么不将您的通信置于HTTPS?

你能不能只使用标准的“会话”范围,即 

request.getSession()

我在GWT应用程序中使用的模式是使用单独的“老式”登录表单来设置会话。 然后,GWT应用程序的主机页面在成功登录后显示。

如果必要的值不在会话中,则用户未登录。您的服务应返回exception,可能指示GWT应用程序重定向到登录页面,或显示错误。

Interesting Posts

htmlunit中的Cookie策略

有没有办法从Java中的响应对象中读取cookie?

在JSP中获取cookie

使用OAUTH 2.0validation并从Facebook cookie获取数据

在Java Servlet中,如何更改现有cookie的值?

HttpClient警告:Cookie被拒绝:非法域属性

CookieHandler困惑不解

使用用户名和密码发送POST请求并保存会话cookie

如何使用Java在Http Get方法中设置Cookies

Java Play! 2 – 使用cookie进行用户管理