是否可以使用密码腌制的容器管理身份验证?

时间:2010-12-10 21:18:08

标签: java jsf java-ee jsf-2 jaspic

我知道如何设置使用表单身份验证并使用消化密码(例如SHA-256)的vanilla容器管理安全性。像这样:

的web.xml 

<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>jdbc</realm-name>
    <form-login-config>
        <form-login-page>/login.jsf</form-login-page>
        <form-error-page>/login-error.jsf</form-error-page>
    </form-login-config>
</login-config>

login.xhtml 

<form action="j_security_check">
    <p><label>
        Username:<br/>
        <input type="text" name="j_username" />
    </label></p>
    <p><label>
        Password:<br/>
        <input type="password" name="j_password" />
    </label></p>
    <p>
        <button type="submit">Submit</button>
    </p>
</form>

非常简单 - 但我真正想要做的就是用全局盐和用户名加密密码。是的,我知道this isn't ideal但是现在,我只是在构建一个概念验证。

容器(在这种情况下是GlassFish 3)可以为我执行此操作,还是必须write my own login filter?我之前已经完成了(对于J2EE应用程序),但我的直觉告诉我,现在我必须采用更严格的方法来使用Java EE 6。

1 个答案:

答案 0 :(得分:3)

我觉得您正在寻找一种快速(并且可能很脏?)的方式来修改内置身份验证提供程序。

正确的方法是为新的JASPIC API(JSR-196)实现自己的Java身份验证服务提供程序。它更加费力,但是这种方法允许您以任何您喜欢的方式滚动实现,并且它应该与任何Java EE 6应用程序服务器兼容。

对于使用密码salting的基本身份验证方案,实现此类提供程序应该非常简单。您将不得不考虑管理用户和密码,但一种解决方案可能是让您的提供商重新使用Glassfish身份验证领域中定义的用户,这样您只需自己管理自定义盐渍密码。

有一个很好的WebSphere教程,你应该能够适应Glassfish here

相关问题
最新问题