Каков наилучший способ иметь сеанс между Java-интерфейсом Restlet Java и GWT? В моем приложении пользователь войдет в систему с именем пользователя и паролем, и если он успешно завершит аутентификацию, возвращается идентификатор пользователя. Затем он сохраняется в файле cookie и используется для вызовов API. Очевидно, это совершенно небезопасно, потому что кто-то может просто изменить идентификатор пользователя и начать обновление и извлечение другого пользователя.Restlet, GWT и сеансы
Является ли лучшим способом также передать токен обратно с идентификатором пользователя, а вызовы API должны содержать этот токен?
Что касается второго пункта - значит ли это реализовать что-то вроде HTTP Digest? Было бы это означать, что мне нужно было бы сохранить имя пользователя и пароль в Cookie? Я подумал об этом, но я подумал, что это угроза безопасности для общих компьютеров? – christophmccann 2010-12-15 18:28:42