Java GWT身份验证和用户信息访问
只是想知道我下面的身份验证方法是否正确。有什么陷阱或遗漏什么吗?欢迎提出建议和讨论 1> 用户提供用户名和密码,并通过RPC发送到服务器。与存储在DB中的散列值进行比较 2> 假设用户名和密码准确,则会在会话中保存身份验证令牌。访问servlet时将检查auth令牌 3> RPC onSuccess将用户id(整数)返回给客户端。用户id保存在客户端的静态变量中 4> 每当需要特定于用户的信息时,都会将带有用户id(静态变量)的rpc调用发送到服务器进行数据库查询 谢谢你引用的 3> RPC onSuccess将用户id(整数)返回给客户端。用户id保存在客户端的静态变量中Java GWT身份验证和用户信息访问,java,gwt,Java,Gwt,只是想知道我下面的身份验证方法是否正确。有什么陷阱或遗漏什么吗?欢迎提出建议和讨论 1> 用户提供用户名和密码,并通过RPC发送到服务器。与存储在DB中的散列值进行比较 2> 假设用户名和密码准确,则会在会话中保存身份验证令牌。访问servlet时将检查auth令牌 3> RPC onSuccess将用户id(整数)返回给客户端。用户id保存在客户端的静态变量中 4> 每当需要特定于用户的信息时,都会将带有用户id(静态变量)的rpc调用发送到服务器进行数据库查询 谢谢你引用的 3> RPC o
如果用户刷新页面,存储在客户端静态字段中的值将被重置,对吗?在这种情况下,会话将结束吗?并且会提示用户再次登录?您最好将令牌返回客户端,并验证令牌而不是用户id。
如果使用了用户id,则用户a已登录,然后另一个用户可以向假装为用户a的服务器发送请求。您的身份验证方法无法保护数据。您不需要向客户端发送用户id。服务器已经拥有识别用户所需的所有信息 此代码段创建了一个会话cookie,其中包含
session.getId()HttpServletRequest request = this.getThreadLocalRequest();
HttpSession session = request.getSession(true);
HttpServletRequest request = this.getThreadLocalRequest();
HttpSession session = request.getSession(false);
session.invalidate()this.getThreadLocalRequest()