Я реализовал простое приложение GWT, включающее службу входа в систему (LoginService) и рабочую службу (WorkerService). Оба GWT-RPC. Я защитил все службы от XSRF, реализовав последний XsrfProtectedServiceServlet GWT (см. GWT Xsrf-Safe Sample Projetct ).
Реализуя этот пример, идентификатор сеанса создается в файле JSP сразу при получении страницы загружен. В этом случае, даже если пользователь не входит в систему.
Это правильный подход? Или мне нужно создать идентификатор сеанса (установив файл cookie) в LoginService? Но при такой реализации не будет ли сам LoginService уязвимым для атаки XSRF?
Спасибо, Паскаль