4
Quelle est la meilleure façon d'avoir une session entre une API Java Restlet et GWT? Dans mon application, l'utilisateur se connectera avec un nom d'utilisateur et un mot de passe et s'il réussit à s'authentifier, l'ID utilisateur est renvoyé. Ceci est ensuite stocké dans un cookie et utilisé dans les appels à l'API. Ceci est évidemment complètement non sécurisé parce que quelqu'un pourrait juste changer le userID et commencer à mettre à jour et récupérer un autre utilisateur.Restlet, GWT et Sessions
Est-ce que le meilleur moyen de remettre un jeton avec l'ID utilisateur et les appels d'API doit contenir ce jeton?
Sur le deuxième point - cela signifie-t-il implémenter quelque chose comme HTTP Digest? Cela signifie-t-il que je devrais stocker le nom d'utilisateur et le mot de passe dans le cookie? Je l'ai considéré mais je pensais que c'était un peu une menace pour la sécurité des ordinateurs partagés? – christophmccann
Bon point. Aller avec le jeton, je dirais. Avez-vous des délais d'attente? Mon expérience avec des choses comme ça "dans la nature" est limitée, j'ai généralement utilisé des services web RESTful pour l'interfaçage dans des environnements fermés, donc la sécurité n'était pas le plus gros problème. – Jules