我刚刚在Web应用程序中运行了一些关于使用JAAS的基础教程。
我设置得很好但注意到j_password参数是以明文形式从客户端浏览器发送的。
在发送之前有没有办法让JAAS哈希这个值?
我的应用程序在Tomcat 7上运行,所以我不知道这是通过某些特定于服务器的设置还是通过某些Web应用程序设置来实现的?
答案 0 :(得分:0)
查看The definitive guide to form-based website authentication
简而言之:客户端密码哈希需要客户端上的javascript ;如果您使用基于表单的身份验证,则只需在服务器上启用即可。无论如何,确保您的连接已加密(HTTP over SSL)。那么在客户端散列密码就不那么重要了。