什么是保护您的GWT + Tomcat的应用程序来进行身份验证和授权的最佳策略？

Therea两种基本策略：

1. 确保入口点;
2. 确保远程服务。

安全入口点

最简单的办法是限制访问使用常规的Web应用程序安全工具由GWT生成的HTML / JS文件：

• 春季安全;
• web.xml中的约束。

这可以让你有一个如AdminEntryPoint和UserEntryPoint 。

安全的远程服务

如果上面的解决方案是不够的，你可以深入挖掘。 我和春天有个安全这样做。 我还没有发现与GWT集成Spring Security的的100％干净的方式，所以我加一点胶水。 简述：

• 创建的注释@AllowedRoles其中列举允许访问该服务的方法的用户角色;
• 创建UserDetailsService其允许当前用户（见的检查SecurityContextHolder中的Javadoc获取详细信息）;
• 创建了匹配与beforementioned注解的所有方法Spring的方面。 它使用服务来获取当前用户的角色和抛出一个checked异常信号的非法访问;
• 修改的所有服务方法抛出安全异常。