我意识到有很多关于身份验证的问题。现在所有人都压倒了我。他们似乎对我想做的事情有点过分。
我正在使用带有Tomcat的JSF 2.0。
我想创建一种允许登录/身份验证的“Hello World”应用程序。我希望用户能够通过简单的表单登录并提交一些文本。后续登录将只显示他们提交的最新文本,并允许其他文本提交。
最终的网站不会是这么简单,或者当然,但我想在登录/身份验证基础上进行登录,因为这对我来说是最大的障碍。
作为第一个也许是hacky run我创建了自己的基本身份验证。哪个会得到我的基本问题......为什么我做错了/不安全?
注册后,我将用户ID和密码存储在数据库中。我将使用某种哈希算法来存储密码,但我还没有决定使用什么。 登录后,我查找从客户端提交的用户ID /密码的匹配项。如果匹配,我将userId存储在会话范围的托管bean中,用户正在访问他们的数据(暂时只是一个字符串)。
基于我一直在阅读的所有复杂的东西,这样做对我来说似乎太容易了。为什么我的方法不好?我还需要学习如何使用HTTPS登录/注册表单,对吗?我知道我没有给你很多工作。抱歉这个问题很糟糕。我正在努力争取在这个问题上站稳脚跟,以及寻求一个不是大规模矫枉过正的解决方案的方向。即我不想使用Spring。