我正在创建简单的Web应用程序。 有一些公共数据和托管数据。 管理员在使用私有数据执行某些操作时正在登录。
Web应用程序服务器:Tomcat。
数据库服务器:MySQL。
问题是进行登录验证的最佳做法是什么。
我应该:
a)登录与一些XML文件一起使用,例如 web.xml /
context.xml ,也许使用 tomcat-users.xml < / em>的?在这种情况下,我认为Tomcat管理员可以轻松管理(添加/删除/更改通行证)用户。
b)像用户一样使用MySQL数据库表。但它由数据库管理员管理。将用户/密码放在某个数据库中是否可以?也许他们应该加密。
也许还有其他方式。
限制是,如果需要某些软件,这必须是免费软件。
提前致谢。
答案 0 :(得分:1)
第二种选择是要走的路。当然,您需要在数据库中存储密码哈希值。当用户登录时,散列他输入的密码并将其与从数据库中检索的(已经散列的)密码进行比较,以便知道他提供的密码是否正确。
您可以通过添加权限列来跟踪用户表中的权限。添加“添加”,“删除”,“更改密码”等列,并将它们设置为0或1,以了解相应的用户是否具有执行操作的权限。