Anpassen der Anmeldeverfahren in einer Java -Webanwendung
https://stackoverflow.com/questions/719747
-
23-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich schreibe eine Java -Anwendung, die eine ungewöhnliche Anmeldung durchführen muss. Eines meiner Probleme ist, dass der Benutzer mehr als eine einfache Kombination aus Benutzername/Passwort liefern muss. Insbesondere ist eine Kombination aus Benutzername/Passwort/Domänen erforderlich.
Ein weiteres Problem ist, dass meine Bewerbung einige Regeln für die Lebensdauer des Kennworts erzwingt (zB: Ein Passwort wird nach 90 Tagen ungültig). Der von mir verwendete Authentifizierungsserver verweigert die Authentifizierung, wenn ein Passwort abgelaufen ist, und zwingt den Benutzer, eine neue auszuwählen. Daher muss mein Anmeldungsprozess in der Lage sein, dies zu bewältigen.
Leider erlaubt mir das Standard -J_Security_Check -Servlet nicht, etwas davon zu tun. Gibt es eine Möglichkeit, eine benutzerdefinierte und sichere Anmeldung für eine Java -Webanwendung zu erstellen?
Hinweis: Das Problem bei der Lieferung der Domäne kann durch die Eingabe von Benutzernname Domain anstelle von Benutzername im Feld j_username bearbeitet werden, und lassen Sie dies dann dekodieren. Dies ist jedoch ein bisschen kludgy und löst das zweite Problem sowieso nicht.
Lösung
Mit der JAAS -Sicherheitsschnittstelle können Sie ein benutzerdefiniertes Anmeldemodul erstellen. Mit diesem Lobby -Modul können Sie Sicherheitsüberprüfungen durchführen, die Sie mögen. Ich schlage vor, dass Sie sich die Informationen zu Jaas ansehen. 0
Hier sind einige der Links, die ich verwendet habe, um JAAs zu verstehen:
http://www.owasp.org/index.php/jaas_tomcat_login_module
http://www.javaorld.com/jw-09-2002/jw-0913-jaas.html
Schauen Sie sich auch die APache Tomcat Realms-Konfiguration an:
Andere Tipps
überlegst du Frühlingssicherheit? Diese sind einige Vorschläge zum Ablauf des Passworts.
