我正在使用Tomcat进行HTTP基本身份验证,一切正常。我只是想知道我是否可以改善一点。
是否可以创建没有用户名的tomcat用户?
<tomcat-users>
<role rolename="admin"/>
<user username="admin1" password="adminpassword1" roles="admin"/>
<user password="someApiKey" roles="admin"/>
</tomcat-users>
我想通过发送API密钥来启用身份验证,因此不再需要用户名。但是当我尝试curl (-u someApiKey:)时,我收到消息“此请求需要HTTP身份验证”。
还有更好的存储密码的方法吗? XML文件中的明文对我来说似乎不安全。在数据库中,我总是使用哈希和盐。
答案 0 :(得分:0)
使用tomcat / bin / digest.sh创建可以包含在tomcat-users.xml中的加密密码。