私の目標は、HTTPSのセキュリティで保護されたログインサービス(GWT-RPC)を持ち、残りはHTTPSではないことです。私は、ユーザーがログインして正常に認証された場合に、セッションをチェックする非HTTPS認証サービスを用意したいと思います。これが失敗した場合、サービスはクライアントをHTTPSセキュリティで保護されたログインにリダイレクトします。私の考えは、すべてのサービス(ログインサービスと認証サービス自体を除く)で認証を行うことです。サーバー側のセキュリティ保護されたURL(HTTPS)にリダイレクト
すべてのサービスはXSRFで保護されています(ログインサービスを除く)。
1)すべてのサービスを認証することは理にかなっていますか? 2)サーバー側のサービスでこれを行う方法はありますか(これまではクライアント上で行う方法しか見つけられませんでした)。