Quiero implementar un sistema de autenticación de usuario personalizado en mi aplicación appengine. No quiero usar sesiones Soy un novato en esta área, así que tengo dos preguntas básicas:Autenticación segura con GWT y GAE en https?
1: ¿Es seguro enviar simplemente un nombre de usuario y contraseña con cada RPC único sobre https? ¿Qué debo hacer para mantener ese nombre de usuario y contraseña seguros en el extremo del cliente?
2: ¿Cómo le digo a GWT que use https cuando realiza sus solicitudes?
No sé mucho sobre seguridad, así que por favor no me perdone ningún detalle "obvio".
Gracias!
http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ parece responder a la pregunta 1 con "sí" y "cookies". Aún frustrantemente escurridizo es la respuesta a la pregunta 2. –
¿Cómo funcionó su implementación? ¿Tuvo algún problema con tener que enviar las credenciales de inicio de sesión para cada solicitud? –
¡Ha funcionado muy bien durante tres meses! –