Основная проблема здесь - та же политика происхождения - это означает, что вся ваша страница использует https или нет. В последнем случае вы можете написать внешнюю страницу, которая выполняет вход в систему, а затем перенаправляет пользователя в реальное веб-приложение (передавая некоторый токен, который веб-приложение затем отправляет на сервер, чтобы проверить, действителен ли он). Вот как это делает GMail - обратите внимание, что страница входа не является частью веб-приложения - вы входите через https (всегда), но вы можете использовать реальное приложение через незашифрованное соединение.
Одним из основных недостатков использования https на всем вашем сайте является то, что большинство браузеров (некоторые цитаты были бы хорошими :)) не кэшируют содержимое https - в зависимости от вашего сайта это может стать проблемой для ваших пользователей (и ваших серверов). ).
PS: в документации GWT есть несколько указателей относительно реализации входа в систему: one и two .
PPS: Неважно, какой у вас бэкэнд - проблема лежит на стороне браузера / клиента (та же политика происхождения).