Возможна ли дайджест-аутентификация в Apache Sling?

Question

Возможен ли дайджест-аутентификация в Apache Sling? Если да, то любые указатели оценены!

Answer 1

В настоящее время он не поддерживается, но его определенно можно добавить.

В Sling AuthenticationHandler извлекает учетные данные из HTTP-запроса на аутентификацию JackRabbit. Источник для стандартного HTTP AuthenticationHandler находится здесь:

http://svn.apache.org/repos/asf/sling/trunk/bundles/auth/form/src/main/java/org/apache/sling/auth/form/impl/

В настоящее время он не поддерживает дайджест-проверку подлинности, но послужит отправной точкой для его построения.

Answer 2

Теоретически дайджест был бы возможен. Но поскольку Jackrabbit хранит пароли пользователей в хешированном виде, его, вероятно, будет нелегко реализовать.

ИМХО, используя SSL с базовой аутентификацией, может быть предпочтительнее использования дайджест-аутентификации.

Или вы можете рассмотреть различные механизмы аутентификации, такие как OpenID.