通过 https 使用 GWT 和 GAE 进行安全身份验证？

Question

我想在我的 appengine 应用程序中实现自定义用户身份验证系统。我不想使用会话。我是这个领域的新手，所以我有两个基本问题：

1：通过 https 为每个 RPC 发送用户名和密码是否安全？我需要做什么才能确保客户端的用户名和密码安全？

2：如何告诉 GWT 在发出请求时使用 https？

我对安全了解不多，所以请不要向我透露任何“明显”的细节。

谢谢！

Answer 1

在 GAE 上，您还可以使用 Google User Services API http://code。 google.com/appengine/docs/java/users/overview.html。它非常直观，您无需了解安全详细信息。

Answer 2

1. 通过 HTTPS 发送用户名和密码是安全的，但没有人对每个请求都这样做，因为有一天您可能会忘记/需要通过 HTTP 发送请求。此外，将密码保存在内存中会吸引 XSS 黑客。一种未被注意到的 XSS 漏洞会暴露密码。通常，开发人员将会话 ID 或 XSRF 令牌保留在内存中，并随每个请求一起发送。
2. 请参阅 http://code.google.com/appengine/ docs/java/config/webxml.html#Secure_URLs
3. 不要忘记 XSRF 保护，您需要为更改某些内容（非只读）的请求实现它。

Answer 3

使用 firebug 观察该过程表明，所有 RPC 都是通过请求主机页面的同一协议发生的。这似乎是同站点源规则所必需的，所以我假设我的答案是

1：是的，但速度较慢

2：当通过 https 请求主机页面时，GWT 自动使用 https