GWT安全再一次

我要开发一个匿名和注册用户都可以访问的网站。计划的安全模式类似于YouTube和其他大多数“Web2.0”网站。登录用户将访问更多功能、更多数据等。实现这一点的最佳方法是什么？ 我正在考虑创建一个简单的服务，将随机会话代码返回给客户端，并将会话对象添加到单例应用程序对象中。当用户提供凭证时，我将更改其会话对象中的参数“logged”。会话令牌将作为每个请求中的一个参数传递，如果用户注册或未注册，服务将更改其行为（即仅返回“公共”数据，或仅返回受限内容）

---

这是一种好方法，还是应该使用不同的方法？

GWT安全性没有本质上的不同，JSP、PHP、ASP、ROR等都是一样的，这就是web应用程序安全性

服务器端已经有一个会话机制，可以生成安全的随机会话cookies，请使用它。作为一个奖励，它可以处理会话到期和其他事情，如果你自己玩的话，你必须处理这些事情

您不能信任客户端发送给您的任何内容，因此，如果您将用户名或某种令牌从客户端发送到服务器（用户登录除外），您就做错了

如果您的信息有任何价值，请在所有连接上强制SSL

服务器调用的实现应检查服务器会话中的当前用户信息，并确定用户是否有权执行该操作。同样，您的RPC信息不应包括任何关于进行调用的用户的信息，除了随请求头自动发送的会话cookie之外。您存储的任何内容，例如用户是否登录，都应该在服务器端会话中

---

当然，您需要在客户端上执行一些操作，以便为登录用户和匿名用户提供正确的用户界面。但这不是安全性，只是为了提供一致的接口。所有的安全都在服务器端

GWT安全性没有本质上的不同，JSP、PHP、ASP、ROR等都是一样的，这就是web应用程序安全性

服务器端已经有一个会话机制，可以生成安全的随机会话cookies，请使用它。作为一个奖励，它可以处理会话到期和其他事情，如果你自己玩的话，你必须处理这些事情

您不能信任客户端发送给您的任何内容，因此，如果您将用户名或某种令牌从客户端发送到服务器（用户登录除外），您就做错了

如果您的信息有任何价值，请在所有连接上强制SSL

服务器调用的实现应检查服务器会话中的当前用户信息，并确定用户是否有权执行该操作。同样，您的RPC信息不应包括任何关于进行调用的用户的信息，除了随请求头自动发送的会话cookie之外。您存储的任何内容，例如用户是否登录，都应该在服务器端会话中

当然，您需要在客户端上执行一些操作，以便为登录用户和匿名用户提供正确的用户界面。但这不是安全性，只是为了提供一致的接口。所有的安全都在服务器端