我已经实现了一个简单的GWT应用程序,它具有登录服务(LoginService)和工作服务(WorkerService).两者都是GWT-RPC.我通过实现GWT最新的XsrfProtectedServiceServlet来保护所有针对XSRF的服务(请参阅GWT Xsrf-Safe Sample Projetct).
实现此示例,会在页面加载时在JSP文件中创建会话标识.在这种情况下,即使用户没有登录.
这是正确的方法吗?或者我是否必须在LoginService中创建会话ID(设置cookie)?但是当以这种方式实现时,LoginService本身是否容易受到XSRF攻击?
谢谢,帕斯卡尔