IAm*_*aja 1 java security gwt google-app-engine
我最近观看了Google I/O关于GWT安全最佳实践的视频,发言人的一个强烈推荐是将您的应用实际分为两个不同的应用:
他的理由是,即使使用GWT疯狂的混淆方法,所有客户端代码都可能受到损害.不要让自己受到不必要的攻击,因此通过拥有两个独立的应用程序,攻击者(无权登录并使用系统)只能下载登录应用程序的客户端代码而无需获取他亲自使用主应用程序的客户端代码.
我喜欢这种方法,但计划将我的应用程序部署到GAE,这严格禁止您使用多个应用程序(WAR)相互协调(在条款和条件中明确说明!).
所以看来谷歌开发者自己在这里有分歧!一方面,GWT团队希望您的应用程序出于安全目的而被拆分,但GAE团队不希望2个以上的应用程序彼此"联合"以进行计费.我的印象是谷歌希望开发人员使用GWT和GAE来拥抱他们的整个平台.
那么这里的交易是什么?!?有没有办法打破我的代码库而不产生一个单独的WAR(因此安抚GAE),但是在你登录之前没有办法看到我的主应用程序的代码?
我会认为"是",但是GWT会强制您同时下载所有内容(以最小化往返和昂贵的HTTP请求).有任何想法吗?提前致谢!
我认为这个想法是在GWT中有单独的模块来进行登录并运行真正的应用程序.
您可能会看到例如:https: //github.com/ashtonthomas/GwtAdvancedLogin
此Google Web Toolkit(GWT)应用程序是如何创建单独的登录模块的示例,然后将其汇集到包含主应用程序登录的一个或多个其他模块.
您可以使用此类设置来完全控制登录页面,而不将其包含在主模块中.
BTW,Gwt不会强迫您立即下载所有内容.您可以轻松拆分代码. https://developers.google.com/web-toolkit/doc/latest/DevGuideCodeSplitting
我认为有不同的模块是你想要的,而不是代码分裂.
| 归档时间: |
|
| 查看次数: |
718 次 |
| 最近记录: |