[kune-devel] Sobre el Login

[Vicente J. Ruiz Jurado]

Dani:

(el resto se puede aburrir con lo que sigue)
Hay un tema que no se como solucionar tal y como tenemos montado el tema
en el servidor.

Cuando el usuario hace login tenemos que generar otro sessionid. En
teoría, siguiendo el SecurityFaq de GWT y otras lecturas [1][2], habría
que hacer más o menos esto:
  request.getSession().invalidate();
  request.getSession(true);

El problema es que ahora solo se accede a UserSession y a
HttpServletRequest en KuneApplicationListener, que se ejecuta solo
cuando el cliente accede por primera vez.

Vamos que no veo como acceder al request desde UserRPC o UserManager en
el login para generar un nuevo sessionId.

antes sí se podía acceder a las peticiones desde un servlet, tipo:
  this.getThreadLocalRequest().getSession().getId()
Dani ¿me hechas un cable si tienes un hueco?

No se, sigo pensando que esto va a ser un tema para ir pasando el rato
mientras se crea un proyecto serio que haga una librería de seguridad
para gwt (algo que mucha gente que usa gwt va a necesitar, usar y mantener).

En fin, este es el coste de ir de modernitos ;)

Abrazotes,


Vicente

[1] http://en.wikipedia.org/wiki/Session_fixation
[2] http://www.owasp.org/index.php/Session_Fixation_in_Java