cookie de session dans gwt rpc

En supposant que je continue mon propre code de session, quelle est la bonne façon de générer un unique et sécurisé cookie de session en java.

Ne dois-je pas rouler mes propres mais à l'aide de quelque chose qui a déjà été standardisée?

Je suis en utilisant gwt et l'application google-moteur de plate-forme.

Comment puis-je faire des séances de persister à travers le navigateur/serveur redémarre?

Vous pouvez utiliser de la session sur le Google App Engine. J'ai fourni le lien dans la mise à jour de réponse.
Comment puis-je faire des séances de persister à travers le navigateur/serveur redémarre?
Une façon d'avoir des sessions persistantes entre les redémarrages est d'avoir des réunions soutenu par une banque de fichiers ou de base de données. C'est de cette façon session mécanismes de basculement de travail dans la plupart des serveurs d'application. Mais je me demande pourquoi vous avez besoin de cela dans Google App Engine.
Spin-off: stackoverflow.com/questions/1392135/...

OriginalL'auteur antony.trupe | 2009-09-05

  1. 24

    À l'aide de Servlet Sessions dans GWT

    Dans le service à distance de la mise en œuvre de la classe:

    String jSessionId=this.getThreadLocalRequest().getSession().getId();

    Dans le code de client:

    String jSessionId=Cookies.getCookie("JSESSIONID");

    Enabling_Sessions

    appengine-web.xml 

    <sessions-enabled>true</sessions-enabled>

    OriginalL'auteur antony.trupe

  2. 2

    Non, vous ne devriez pas être rouler vos propres.

    L'ID de session doit être chiffrée de manière aléatoire (pas deviner à partir de sources connues). Il est difficile d'obtenir ce droit, vous-même.

    OriginalL'auteur Noon Silk

  3. 1

    Idéalement, vous devriez être en s'appuyant sur le cadre sous-jacent de fonctionnalités de gestion de session. Les Servlets &Jsp, Struts et Spring avoir cette prise en charge, que vous devez utiliser.

    Dans le cas extrêmement rare que vous écrivez votre propre cadre avec aucun sous-jacent fonctionnalités de gestion de session compter sur, vous pourriez commencer par le java.de sécurité.SecureRandom classe pour commencer. Bien sûr, ne pas réinventer la roue ici, pour les brisures de gestion de session est le même que cassé authentification.

    Mise à jour

    Étant donné que vous êtes en utilisant Google App Engine, vous devez vous appuyer sur les fonctionnalités de gestion de session fourni par le moteur. Il semble qu'il n'est pas activée par défaut.

    Gestion de Session est une partie de J2EE spec et est mis en œuvre par le serveur d'application / conteneur de servlet. Donc, à moins que "la rédaction vous propre cadre de référence" signifie "écrire du code sur le dessus de raw protocole HTTP" vous avez toujours la gestion de session à compter.
    Oui, c'est vrai.
    Par la manière, l'Axe 1.x ne mettre en œuvre la gestion de session à l'aide de la SecureRandom classe. Je ne suis pas sûr pourquoi ils l'ont choisi, mais c'est le seul-hors les cas que j'ai rencontrés.
    Plus de détails sur l'Axe 1.x la gestion de session la conception peut être trouvé à l'adresse wiki.apache.org/ws/FrontPage/Axis/SessionSupport. La raison supposée (que je pense) pour ne pas utiliser HttpSession est à des séances de soutien à travers différents protocoles.

    OriginalL'auteur Vineet Reynolds