6
我想在我的appengine应用程序中实现自定义用户身份验证系统。我不想使用会话。我是这方面的新手,所以我有两个基本问题:通过https对GWT和GAE进行安全认证?
1:只通过https向每个RPC发送用户名和密码是否安全?我需要做些什么才能保证客户端的用户名和密码安全?
2:如何让GWT在发出请求时使用https?
我对安全性不太了解,所以请不要让我有任何“明显”的细节。
谢谢!
A
回答
5
使用萤火虫观察过程显示所有RPC都是通过与请求主机页面相同的协议进行的。这似乎需要为同一个站点的原产地规则,所以我会认为我的答案是
1:是的,但它的速度较慢
2:GWT自动使用HTTPS当主机页面请求w/https
1
在GAE上,您还可以使用Google用户服务API http://code.google.com/appengine/docs/java/users/overview.html。它非常直观,你不需要知道安全细节。
+0
谢谢,但我需要比API提供的更多控制(我想创建自己的用户,而不是依靠外部认证方法)。 – 2010-09-10 15:29:57
2
- 通过HTTPS发送用户名和密码是安全的,但没有人会为每个请求执行此操作,因为有一天您可能会忘记/需要通过HTTP发送请求。而且,将密码保存在内存中会吸引XSS黑客。一个未被注意的XSS漏洞会暴露密码。通常,开发人员会将内容中的会话标识或XSRF标记保存在内存中,并随每个请求一起发送。
- 请看http://code.google.com/appengine/docs/java/config/webxml.html#Secure_URLs
- 不要忘记XSRF保护,您需要为请求改变某些内容(而不是只读)来实现它。
相关问题
- 1. 通过URL进行Spring安全认证
- 2. 通过HTTPS GAE dev_appserver.py
- 3. API oauth1.0认证通过https
- 4. Javascript和jQuery不安全通过https
- 5. 使用LDAP进行Spring安全认证
- 6. 通过https进行WCF验证
- 7. 通过HTTPS进行M2M通信 - 如何进行身份验证?
- 8. GWT GAE通过Blob上传
- 9. Gwt + Gae安全:登录页面
- 10. HTTPS和安全
- 11. 使用node.js和session.socket.io进行安全认证?
- 12. 通过SQL进行用户认证表
- 13. 通过WCF进行MVC认证
- 14. 通过RESTeasy webservice进行EJB认证
- 15. 通过C程序进行Web认证
- 16. okta认证通过python进行解析
- 17. 通过HTTPS进行通过URL重写进行HTTP身份验证
- 18. 通过对HTTPS页面进行POST进行身份验证的问题
- 19. NSURLConnection通过https有多安全
- 20. 通过安全网关的HTTPS
- 21. 通过HTTPS不安全的“视频”
- 22. 通过HTTPS安全cookie的感觉
- 23. 安全 - 通过HTTP或HTTPS css文件
- 24. NSURLCredential是否通过https保护安全?
- 25. GWT GAE Java应用程序的此GWT/RPC安全方法有多安全?
- 26. 要求通过https验证弹簧安全性吗?
- 27. 用Spring安全进程远程认证
- 28. WCF安全认证
- 29. Servlet安全认证
- 30. API认证安全
http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ似乎用“是”和“cookies”回答问题1。仍令人沮丧地难以捉摸的是问题2的答案。 – 2010-09-09 16:39:54
您的实施是如何实施的?您是否有任何问题需要为每个请求发送登录凭据? – 2011-01-26 04:42:57
它已经工作了三个月了! – 2011-01-26 15:05:26