Burada asıl sorun, aynı Kökeni Politikası - Eğer tam sayfa https kullanılsın ya da değil ya anlam. İkinci durumda, giriş yapar ve sonra (web uygulaması daha sonra geçerli olup olmadığını kontrol etmek için sunucuya gönderdiği belirteci çeşit boyunca geçen) gerçek web uygulaması kullanıcı yönlendirir harici bir sayfa yazabilirsiniz. İşte GMail yapar nasıl - giriş sayfası web uygulamasının bir parçası olmadığını fark - (her zaman) https üzerinden giriş yap, ama sen şifresiz bağlantısı üzerinden gerçek uygulamayı kullanmak için seçebilirsiniz.

Lütfen bütün sitede https kullanarak bir büyük dezavantajı tarayıcıların çoğu (bazı atıf :) güzel olurdu) https içeriği önbelleğe kalmamasıdır - sitenizde bağlı olarak, bu kullanıcıları (ve sunucular) için bir gerginlik haline gelebilir.

PS: The GWT documentation has some pointers regarding login implementation: one and two.
PPS: It doesn't really matter what your backend is - the problem lies on the browser/client side (Same Origin Policy).