我创建了一个需要身份验证的GWT项目。最初,用户的密码是纯文本的,但现在我想用BCrypt哈希。我搜索了但是找不到一个描述如何让Jetty对BCrypt哈希密码进行身份验证的地方。
我正在使用纯文本和SSL上的FORM将密码发送到服务器。我需要做些什么才能使Jetty哈希这个密码并将其与数据库中的密码进行比较?
谢谢;
答案 0 :(得分:0)
在JAAS中,这是由LoginModule完成的。 Jetty-specific JAAS教程(我实际上只是浏览了一下)解释了如何实现自己的教程,并配置Jetty使用它。
正如伊戈尔已经注意到并在他所关联的帖子中解释过的那样,单独的容器会话管理不足以抵御XSRF。您仍然可以使用JAAS - 但请确保您的服务器调用另外受到不存储在Cookie中的令牌的保护。
我个人会使用与cookie中使用的标记不同的标记。这有助于保护一点点XSS(否则,你会失去httpOnly cookies的目的。