Я создаю веб-приложение Google App Engine с серверной частью Java, которое в значительной степени зависит от JavaScript / JQuery в браузере (вы можете увидеть его здесь ).
Я хочу реализовать механизм аутентификации пользователей, который также будет опираться на AJAX (то есть они смогут регистрироваться и входить в систему без обновления страницы).
Я не хочу полагаться на аутентификацию Google, потому что яЯ обнаружил, что многие люди не хотят отказываться от своих адресов электронной почты GMail, но я хотел бы в будущем поддерживать аутентификацию через Google / Facebook / Twitter и т. д.
Мне нравится простота подхода Reddit к пользователюАутентификация.
Меня беспокоит то, что, поскольку люди не будут использовать мое приложение по HTTPS, я не хочу отправлять пароль в виде открытого текста по HTTP.Я также предпочел бы полагаться на какой-то секретный токен (возможно, хэш пароля и некоторую «соль», предоставляемую сервером), который можно перехватить и подделать.
В то же время я неНе нужно прилагать огромных усилий для реализации механизма аутентификации.
Есть ли подход, который дает мне простоту, которую я хочу, и которая безопасна по HTTP?
edit: Я только что понял, что Google App Engine поддерживает HTTPS, но только если вы подключаетесь через URL-адрес * .appspot.com для вашего сайта.К сожалению, вы не можете делать вызовы AJAX для этого из-за ограничений межсайтового скриптинга - хотя я предполагаю, что это возможно с JSONP.
Так что использование JSONP + HTTPS + *. Appspot.com лучший подход здесь