当前位置: 首页 > 面试题库 >

GWT和身份验证

宋丰
2023-03-14
问题内容

确保GWT + Tomcat应用程序执行身份验证和授权的最佳策略是什么?


问题答案:

有两种基本策略:

  1. 确保入口点;
  2. 保护远程服务。

最简单的方法是使用常规的Web应用程序安全工具来限制对GWT生成的html / js文件的访问:

  • 春季安全;
  • web.xml约束。

这样可以让您拥有eg AdminEntryPointUserEntryPoint

保护远程服务

如果上述解决方案还不够,您可以进行更深入的研究。我已经通过Spring Security做到了。我还没有找到将Spring
Security与GWT集成的100%简洁的方法,所以我添加了一些胶水。简要地:

  • 创建了一个注释@AllowedRoles,该注释枚举了允许访问该服务方法的用户角色;
  • 创建了一个UserDetailsService允许检查当前用户的(有关详细信息,请参见SecurityContextHolder javadoc);
  • 创建了一个Spring方面,该方面与所有带有上述注释的方法匹配。它使用该服务检索当前用户的角色,并抛出一个已检查的异常以表明存在非法访问。
  • 修改了所有服务方法以引发安全异常。


 类似资料:
  • 问题内容: 我在glassfish服务器上使用了gwt,并且尝试通过cookie对我的某些RPC调用进行身份验证。这可能吗?有没有关于如何编码的示例? 问题答案: 仅依靠cookie进行身份验证将使您的网站/服务容易受到跨站点请求伪造/ XSRF / CSRF攻击- 有关GWT应用程序安全性的更多信息,请阅读。 最好的方法是再次检查从cookie以及通过其他方式(作为请求的一部分(标头,自定义字段

  • 我有一个REST服务,它依赖于外部系统来验证令牌,但需要自己进行授权(使用like@Secured进行API级访问)。 要求: UI使用外部系统生成令牌 一种可能的解决方案是使用过滤器: > UI使用外部系统生成令牌 UI使用令牌对我的服务进行REST调用 我的服务有一个过滤器,它使用令牌调用外部系统 有效令牌的外部系统发回用户详细信息 我对成功呼叫集的服务与SecurityContextHold

  • 身份验证 PDF版下载 企业应用中的URL链接可以通过OAuth2.0验证接口来获取员工的身份信息。 通过此接口获取员工身份会有一定的时间开销。对于频繁获取员工身份的场景,建议采用如下方案: 企业应用中的URL链接直接填写企业自己的页面地址; 员工跳转到企业页面时,企业校验是否有代表员工身份的cookie,此cookie由企业生成; 如果没有获取到cookie,重定向到OAuth验证链接,获取员工

  • 问题内容: 我正在使用Spring 3 Web应用程序,因为Spring 3不支持NTLM身份验证,可以与Spring安全性一起使用的其他替代方法有哪些?这样,当用户登录到Active Directory时就可以通过应用程序进行身份验证了吗? 目前,Kerberos解决方案不是一个选择,NTLM是唯一的选择。 任何帮助都是非常明显的。 谢谢 问题答案: 我已经做过一次了。在这里抓住它。它将需要在A

  • 几天没有任何进展,我需要你的帮助。 使用GWT,我试图与REST服务器通信,服务器位于不同的URL上(需要CORS)<我的配置:服务器spring boot 1.3.3 客户端-GWT 1.7-restygwt 2.0.3 当我在Spring中禁用安全性时,我可以在我的GWT客户端中获取数据。 但是当我启用它时,我总是收到401个请求。REST URL请求直接在Web浏览器中工作(带有其身份验证对

  • 我正在尝试使用Firebase验证Vue.js应用程序。 我有一个问题,如果在登录时尝试直接访问受登录保护的URL,路由器将在firebase之前加载并检查身份验证状态。js有时间返回auth响应。这会导致用户被弹回登录页面(当他们已经登录时)。 如何延迟vue-router导航直到从Firebase检索到auth状态?我可以看到Firebase将auth数据存储在local存储中,检查它是否作为