我想知道使用GWT和SSL(实际上是在JBoss Web应用服务器上配置了TLS)的安全缺陷(如果有的话)。我与我的朋友讨论过这个问题,他说即使我启用HTTPS,一些恶意用户也可以拦截我的.js文件并更改代码并在服务器上进行身份验证。我们假设,除了SSL之外,我们绝不会在电汇上发送纯文本密码(我们首先对其进行哈希)。这真的有可能吗?具有SSL安全性的GWT
我想知道的另一件事是 - Javascript代码(由GWT生成)如何激发RPC调用?我们使用Wireshark来嗅探客户端对启用了SSL的Web服务器的请求和响应,并且没有任何RPC程序包正在进行传输。我们所看到的只是这些TLS协议数据包,我们可以通过对客户端和Web服务器的源和目标IP地址使用过滤器来轻松识别它们。
我真的不知道为什么我期待RPC数据包。当我用真正的Java RPC做一些工作时,我可以看到RPC数据包通过网络,但这只是HTTP协议负载的一部分。 – Zec 2010-11-11 08:07:32
我很抱歉排序 - 恢复此主题。但我遇到了同样的问题。所以如果我想为我的客户端<->服务器通信安全 - 那么我必须切换到SSL,对吧?我的应用程序显示多个页面。其中一些适用于所有人,一些仅适用于登录用户(例如管理配置文件仅适用于已登录的用户)。那么做这件事的最佳做法是什么? – Igor 2011-12-04 02:40:36