В безопасности GWT нет ничего особенного, это то же самое с JSP, PHP, ASP, ROR и т. Д., То есть в безопасности веб-приложений.
На стороне сервера уже есть механизм сеанса, который генерирует безопасные случайные файлы cookie сеанса, используйте его. В качестве бонуса он обрабатывает истечение сеанса и другие вещи, с которыми вам пришлось бы справиться, если бы вы выпали самостоятельно.
- Вы не можете доверять ВСЕМУ, что клиент отправляет вам, поэтому, если вы отправляете имя пользователя или какой-либо токен с клиента на сервер (кроме пользователя, выполняющего вход), вы делаете это неправильно.
- Если ваша информация имеет какое-либо значение, принудительно включите SSL для всех соединений.
Ваша реализация вызовов сервера должна проверить сеанс сервера на наличие информации о текущем пользователе и определить, авторизован ли пользователь для выполнения действия. Опять же, ваши данные RPC не должны включать в себя какую-либо информацию о пользователе, выполняющем вызов, кроме файла cookie сеанса, который автоматически отправляется с заголовками запроса. Все, что вы храните, например, вошел ли пользователь в систему, должно быть в сеансе на стороне сервера.
Конечно, вам нужно что-то сделать на клиенте, чтобы предоставить зарегистрированным и анонимным пользователям надлежащий пользовательский интерфейс. Но это , а не безопасность, работа только для обеспечения согласованного интерфейса. Вся безопасность на стороне сервера.