6
我想在我的appengine應用程序中實現自定義用戶身份驗證系統。我不想使用會話。我是這方面的新手,所以我有兩個基本問題:通過https對GWT和GAE進行安全認證?
1:只通過https向每個RPC發送用戶名和密碼是否安全?我需要做些什麼才能保證客戶端的用戶名和密碼安全?
2:如何讓GWT在發出請求時使用https?
我對安全性不太瞭解,所以請不要讓我有任何「明顯」的細節。
謝謝!
A
回答
5
使用螢火蟲觀察過程顯示所有RPC都是通過與請求主機頁面相同的協議進行的。這似乎需要爲同一個站點的原產地規則,所以我會認爲我的答案是
1:是的,但它的速度較慢
2:GWT自動使用HTTPS當主機頁面請求w/https
1
在GAE上,您還可以使用Google用戶服務API http://code.google.com/appengine/docs/java/users/overview.html。它非常直觀,你不需要知道安全細節。
+0
謝謝,但我需要比API提供的更多控制(我想創建自己的用戶,而不是依靠外部認證方法)。 – 2010-09-10 15:29:57
2
- 通過HTTPS發送用戶名和密碼是安全的,但沒有人會爲每個請求執行此操作,因爲有一天您可能會忘記/需要通過HTTP發送請求。而且,將密碼保存在內存中會吸引XSS黑客。一個未被注意的XSS漏洞會暴露密碼。通常,開發人員會將內容中的會話標識或XSRF標記保存在內存中,並隨每個請求一起發送。
- 請看http://code.google.com/appengine/docs/java/config/webxml.html#Secure_URLs
- 不要忘記XSRF保護,您需要爲請求改變某些內容(而不是隻讀)來實現它。
相關問題
- 1. 通過URL進行Spring安全認證
- 2. 通過HTTPS GAE dev_appserver.py
- 3. Javascript和jQuery不安全通過https
- 4. 通過https進行WCF驗證
- 5. 通過HTTPS進行M2M通信 - 如何進行身份驗證?
- 6. 使用GWT和GAE進行JUnit測試
- 7. 通過WCF進行MVC認證
- 8. okta認證通過python進行解析
- 9. 通過SQL進行用戶認證表
- 10. 通過C程序進行Web認證
- 11. 通過HTTPS進行通過URL重寫進行HTTP身份驗證
- 12. 通過對HTTPS頁面進行POST進行身份驗證的問題
- 13. NSURLCredential是否通過https保護安全?
- 14. 通過HTTPS安全cookie的感覺
- 15. 安全 - 通過HTTP或HTTPS css文件
- 16. NSURLConnection通過https有多安全
- 17. 通過安全網關的HTTPS
- 18. GWT GAE Java應用程序的此GWT/RPC安全方法有多安全?
- 19. 要求通過https驗證彈簧安全性嗎?
- 20. 用Spring安全進程遠程認證
- 21. Servlet安全認證
- 22. WCF安全認證
- 23. API認證安全
- 24. 帶GAE和GWT的Facebook安全帆布URL
- 25. SVC WebService通過HTTP進行工作,通過HTTPS進行故障
- 26. API返回連接不安全。 API請求必須通過HTTPS進行
- 27. 在基於GWT + GAE的應用程序中進行驗證
- 28. 通過JWT進行應用程序認證和授權
- 29. 通過SSL和HTTP進行REST服務基本認證
- 30. 通過ASP.NET角色提供者對Active Directory和角色進行ASP .NET認證
http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ似乎用「是」和「cookies」回答問題1。仍令人沮喪地難以捉摸的是問題2的答案。 – 2010-09-09 16:39:54
您的實施是如何實施的?您是否有任何問題需要爲每個請求發送登錄憑據? – 2011-01-26 04:42:57
它已經工作了三個月了! – 2011-01-26 15:05:26