Question

Я создал проект GWT, который требует аутентификации.Изначально пароли пользователей были в виде простого текста, но теперь я бы хотел их хешировать с помощью BCrypt.Я искал, но не могу найти место, описывающее, как заставить Jetty аутентифицироваться на хешированном пароле BCrypt.

Я отправляю пароль на сервер, используя ФОРМУ в текстовом виде и через SSL.Что мне нужно сделать, чтобы Jetty хэшировал этот пароль и сравнивал его с паролем в базе данных?

Спасибо;

Chris Lercher · Answer 1 · 16 июня 2010

В JAAS это делается с помощью LoginModule. В учебнике JAAS для для Jetty (который я только что просмотрел) объясняется, как вы можете реализовать свой собственный и настроить Jetty для его использования.

Как уже заметил Игорь и объяснил в посте, на который он ссылался, одного лишь управления сессией контейнера недостаточно для защиты от XSRF. Вы по-прежнему можете использовать JAAS, но убедитесь, что ваши вызовы на сервере дополнительно защищены токеном, который не хранится в файле cookie.

Я бы лично использовал токен, отличный от того, который использовался в куки. Это помогает немного защитить от XSS (в противном случае вы бы победили назначение httpOnly cookie ).

проверка подлинности веб-приложений при хешировании паролей с помощью bcrypt

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

проверка подлинности веб-приложений при хешировании паролей с помощью bcrypt

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы