تخصيص إجراء تسجيل الدخول في تطبيق ويب Java

Question

أنا أكتب تطبيق Java الذي يحتاج إلى إجراء إجراء تسجيل دخول غير عادي. أحد مشاكلي هو أن المستخدم يحتاج إلى تزويد أكثر من مجموعة اسم المستخدم / كلمة المرور البسيطة. على وجه التحديد، مطلوب مزيج اسم المستخدم / كلمة المرور / المجال.

مشكلة أخرى هي أن تطبيقي يفرض بعض قواعد حياة كلمة المرور (على سبيل المثال: تصبح كلمة مرور غير صالحة بعد 90 يوما). سينفض خادم المصادقة الذي أستخدمه المصادقة عند انتهاء صلاحية كلمة مرور وتؤمن المستخدم في اختيار واحد جديد. لذلك يجب أن تكون عملية تسجيل الدخول الخاصة بي قادرا على التعامل مع ذلك.

لسوء الحظ، فإن Servlet قياسي J_Security_check لا يسمح لي بأي من ذلك. هل هناك أي طريقة لإنشاء إجراء تسجيل دخول مخصص وآمن لتطبيق Web Java.

ملاحظة: يمكن أن تعمل المشكلة في توفير المجال حولها من خلال وجود مستخدمين يدخلون اسم المستخدم المجال بدلا من اسم المستخدم فقط في حقل J_USERNAME ثم السماح لشفرة Realm مخصصة. ومع ذلك، فإن هذا كلودجي قليلا ولا يحل المشكلة الثانية على أي حال.

Answer 1

تتيح لك واجهة JAAS الأمنية إنشاء وحدة تسجيل دخول مخصصة. ستتيح لك وحدة اللوبى هذه الحصول على أي فحص أمني تريده. أقترح أن تنظر إلى المعلومات الموجودة على JAAS. 0.

فيما يلي بعض الروابط التي اعتدت أن أساعد في فهم JAAS:

http://www.owasp.org/index.php/jaas_tomcat_login_module.

http://www.javaworld.com/jw-09-2002/JW-0913-JAAS.HTML.

http://www.jaasbook.com/

http://roneiv.wordpress.com/2008/02/18/jaas-Authentication-mechanis-is-It-possible-force-j_security_check-to-go-po-a-pecific-page/

أيضا إلقاء نظرة على تكوين APACHE TOMCAT Realms كيفية:

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html.

Answer 2

هل تفكر الأمن الربيع? هؤلاء هي بعض الاقتراحات المتعلقة بانتهاء انتهاء صلاحية كلمة المرور.