Question

Моя цель - иметь службу защищенного входа в систему HTTPS (GWT-RPC), а остальное - не HTTPS. Я хочу иметь службу проверки подлинности без HTTPS, которая проверяет сеанс, если пользователь вошел в систему и успешно прошел проверку подлинности. Если это не удается, служба должна перенаправить клиента на защищенный вход HTTPS. Моя идея заключается в том, чтобы выполнять аутентификацию в каждой службе (кроме службы входа в систему и самой службы проверки подлинности).

Все службы защищены XSRF (кроме службы входа в систему).

1) Имеет ли смысл аутентифицировать каждую службу? 2) Есть ли способ сделать это в службе на стороне сервера (до сих пор я только нашел способы сделать это на клиенте)?

Bob · Answer 1 · 14 февраля 2012

На мой взгляд, это имеет смысл.Важно не оставлять дыры в безопасности открытыми.
Внутри вашего RemoteServiceServlet вы можете сделать следующее, чтобы перенаправить ваш запрос на HTTPS:

getThreadLocalResponse().sendRedirect("https://yourUrl");

Перенаправление на защищенный URL (HTTPS) на стороне сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Перенаправление на защищенный URL (HTTPS) на стороне сервера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы