【问题标题】:Restlet, GWT and SessionsRestlet、GWT 和会话
【发布时间】:2010-12-15 13:31:43
【问题描述】:

在 Restlet Java API 和 GWT 之间建立会话的最佳方式是什么?在我的应用程序中,用户将使用用户名和密码登录,如果成功验证,则返回用户 ID。然后将其存储在 cookie 中并用于调用 API。这显然是完全不安全的,因为有人可以更改用户 ID 并开始更新和检索另一个用户。

将令牌与用户 ID 一起交还并且 API 调用必须包含该令牌的最佳方式是什么?

【问题讨论】:

    标签: java gwt restlet


    【解决方案1】:

    令牌是一个很好的方法,我在很多实现中都看到了它。通常,这作为每个请求的简单参数传递。按照 RESTful 理念,您也可以每次只在 HTTP 请求中包含凭据。

    【讨论】:

    • 关于第二点 - 这是否意味着实现类似 HTTP Digest 的东西?这是否意味着我必须将用户名和密码存储在 Cookie 中?我考虑过这一点,但我认为这对共享计算机有点安全威胁?
    • 好点。我会说,带着令牌去。你有什么超时要求吗?我对“野外”这类东西的经验是有限的,我通常使用 RESTful Web 服务在封闭环境中进行交互,因此安全性并不是最大的问题。
    猜你喜欢
    • 2011-05-09
    • 2011-08-06
    • 2012-12-27
    • 1970-01-01
    • 1970-01-01
    • 2012-02-21
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多