应用错误收集

我想将HTTP摘要式身份验证与存储用户名和加密密码的中央数据库一起使用。这些数据应该由不同的服务器使用，例如Apache httpd或Tomcat。客户端将是人类，浏览器和其他应用程序以RESTful方式进行通信。

据我所知，我无法使用带有散列密码的表格。只能将HA1 = MD5(username:realm:password)存储在需要明文密码的地方 - 对吗？

另一方面，似乎可以在Apache httpd：

中使用散列密码

第一列的第一列值查询语句返回的行应该是一个包含的字符串加密密码。

是否可以使用摘要式身份验证？没有参数来指定哈希算法。 Apache httpd如何决定使用哪种算法？

4.13存储密码

摘要式身份验证需要   验证代理（通常是   服务器）存储一些派生的数据   从用户的名称和密码   在与...关联的“密码文件”中   给定领域。通常这可能   包含由用户名组成的对   和H（A1），其中H（A1）是   用户名，领域的消化值，   和密码如上所述。

听起来密码必须是明文。

Servlet 3.0规范说：

虽然没有发送密码有线，HTTP摘要认证需要明文密码等价物是可以的验证容器以便它可以验证收到的验证者通过计算预期的摘要。

这里的“明文密码等效”是什么？密码哈希？

如果使用消化密码 DIGEST身份验证，明文用于生成摘要的是不同。在上面的例子中必须替换{cleartext-password} 同 {用户名} {}境界：{明文密码}。例如，在开发中环境可能采取这种形式为testUser：本地主机：8080：testPassword

这是一个需要明文密码。

那么，HTTP摘要验证是否可以与已加密的密码一起使用，或者密码是否为明文？

如果用户请求来自其他子域的页面，用户是否必须重新输入凭据？

浏览器是否在选项卡关闭时或仅在整个关闭时删除缓存的密码？也许这在浏览器与浏览器之间有所不同 - 我会对哪个浏览器删除它以及保留它的感兴趣。

总体问题是，摘要式身份验证是否适用于具有已加密密码的中央用户数据库的情况。或者我应该更好地使用基于会话的单点登录服务吗？