[英]User authentication for web services in Java
假設我有一個簡單的Java服務器應用程序,它實現了一些Web( REST
)服務。 該應用程序作為war
部署在Tomcat
。 現在,我想添加用戶身份驗證,如下所示:
在服務器端添加具有用戶名和密碼的純文本文件users
。 要求用戶在每次請求時都發送用戶名和密碼,然后服務器針對文件對它們進行測試。
為了防止以明文形式發送密碼,我正在考慮單向加密,就像/etc/passwd
使用的那樣。 因此,在要求中將密碼發送給用戶之前,將要求用戶對其密碼進行加密。
這種方法有意義嗎? Java中是否有此方法的“現成可用”實現?
春季安全 ? 這是一種保護Web應用程序的非侵入性方式,並且在存儲數據的方式上非常靈活-即純文本文件,xml或用戶名和密碼的數據庫。
例如,使用諸如Jersey的RESTful框架。 但是對於身份驗證,您必須使用請求過濾器實現會話管理。 對於用戶管理,您應該使用MySQL之類的數據庫。
是的,從BASIC(通過SSL),OAuth,Kerberos,Spring Security等中,有很多現有的好的身份驗證解決方案。我建議對WS-Security主題進行研究,因為它有很多層(容器,過濾器,應用程序本身) )可以進行身份驗證的位置。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.