Я пишу маленький фронтенд GWT для приложения бэкенда, и я задавался вопросом о лучшей модели обеспечения безопасности для приложений GWT?
Я думал о реализации метода RPC, который получает MD5 пароля пользователя от клиентской веб-страницы, затем пасуя назад идентификатор сессии к клиентской странице (или failcode). Все последующие вызовы просто использовали бы идентификатор сессии, и сервер будет отслеживать дорожку, что IP-адрес для идентификатора сессии является тем же IP-адресом, который создал идентификатор сессии?
Действительно ли это - стандартный механизм для (non-ssl) аутентификации для приложений GWT?
В противном случае кто-либо может предложить альтернативные решения?
Спасибо,
Эта страница от Google дает хороший обзор безопасности и задач, связанных с входом пользователей в систему. Ссылка на этой странице на Безопасность приложений GWT также касается нескольких распространенных ошибок, связанных с GWT.