4
Was ist der beste Weg, um eine Sitzung zwischen einer Restlet Java API und GWT zu machen? In meiner App wird sich der Benutzer mit einem Benutzernamen und einem Passwort anmelden und wenn er erfolgreich authentifiziert wurde, wird die Benutzer-ID zurückgegeben. Dies wird dann in einem Cookie gespeichert und in Aufrufen der API verwendet. Dies ist offensichtlich völlig unsicher, da jemand einfach die Benutzer-ID ändern und mit dem Aktualisieren und Abrufen eines anderen Benutzers beginnen kann.Restlet, GWT und Sessions
Ist die beste Möglichkeit, ein Token auch mit der Benutzer-ID zurückzugeben, und die API-Aufrufe müssen dieses Token enthalten?
Zum zweiten Punkt - bedeutet das, etwas wie HTTP Digest zu implementieren? Würde das bedeuten, dass ich den Benutzernamen und das Passwort im Cookie speichern müsste? Ich habe darüber nachgedacht, aber ich dachte, es sei eine Sicherheitsbedrohung für gemeinsam genutzte Computer. – christophmccann
Guter Punkt. Geh mit dem Token, würde ich sagen. Haben Sie Timeout-Anforderungen? Meine Erfahrung mit solchen Sachen "in the wild" ist begrenzt, ich benutzte normalerweise RESTful Webservices für die Anbindung in geschlossenen Umgebungen, also war Sicherheit nicht das größte Problem. – Jules