Как я могу использовать контейнер J2EE для управления моей аутентификацией пользователя?

Question

У меня внутри Tomcat есть веб-приложение J2EE, которое я пишу.

Для входа в систему я хранил соленые хеши паролей внутри MySQL. Для входа в систему пользователь вводит пароль, он хэшируется и сравнивается с паролем базы данных. Мне кажется, это нормально, но я слышал, что контейнер (Tomcat) предоставляет некоторые службы аутентификации пользователей.

Я немного разбирался в этом, но все, что я могу найти, это как вручную добавлять учетные записи пользователей в систему. Однако я хотел бы, чтобы пользователи регистрировались, а контейнер обрабатывал динамические изменения.

Есть ли способ динамически изменять список учетных записей пользователей, чтобы люди могли регистрироваться на лету, используя контейнер J2EE?

Answer 1

Если вы используете Tomcat, вас может заинтересовать JDBCRealm , из которых могут быть пользовательские реализации, если вы хотите расширить его. Хотя Tomcat не является полноценным контейнером J2EE, вы можете прочитать обзор Определение требований безопасности для веб-приложений для более стандартного подхода, который работает с любым контейнером J2EE.