Como faço para implementar uma canvas de login no GWT?

Estou escrevendo um pequeno front-end do GWT para um aplicativo de back-end e fiquei me perguntando sobre o melhor modelo de segurança para aplicativos GWT?

Eu estava pensando em implementar um método RPC que recebe um MD5 de uma senha de usuário da página da Web do cliente e, em seguida, passar de volta uma identificação de session para a página do cliente (ou um código de falha). Todas as chamadas subseqüentes simplesmente usariam a identificação da session e o servidor manteria um controle de que o endereço IP da identificação da session é o mesmo endereço IP que criou a identificação da session?

Este é o mecanismo padrão para autenticação (não-ssl) para aplicativos GWT?

Se não, alguém pode sugerir soluções alternativas?

Obrigado,