gwt - GWT RequestFactory 的 EntityProxy 安全性

Question

这个问题涉及 GWT 的 RequestFactory。

如果我的服务器域中有一个用户对象，它有一个 getPassword() 方法。我创建了一个没有这个 getPassword() 方法的 UserProxy（扩展了 EntityProxy）。这会创建一个安全整体吗？因为服务器域的 User 对象有一个密码作为它的字段，如果恶意用户会更改一些 javascript 并以巧妙的方式询问密码，那么恶意用户会找回密码吗？在我看来，没有任何检查可以防止从客户端调用 getPassword() 方法。

Answer 1

（RequestFactoryServlet实际上是SimpleRequestProcessor它使用的，但这只不过是一个实现细节）使用您的接口来确定哪些属性是可访问的（get 或 set）以及哪些服务方法是可调用的，因此确实没有人可以做某事的风险您没有通过代理或上下文接口公开。