Personalización del procedimiento de inicio de sesión en una aplicación Java Web

StackOverflow https://stackoverflow.com/questions/719747

Pregunta

Estoy escribiendo una aplicación Java que necesita para llevar a cabo un procedimiento de inicio de sesión inusual. Uno de mis problemas es que el usuario tiene que suministrar más que una simple combinación de nombre de usuario / contraseña. Específicamente, se requiere un / contraseña / combinación de dominio nombre de usuario.

Otro problema es que mi solicitud hace cumplir algunas reglas de toda la vida (por ejemplo, contraseñas: una contraseña queda invalidado después de 90 días). El servidor de autenticación que utilizo rechazará la autenticación cuando una contraseña ha expirado y obliga al usuario a elegir una nueva. Por lo tanto mi proceso de inicio de sesión debe ser capaz de manejar eso.

Desafortunadamente el servlet j_security_check norma no me permite hacer nada de eso. ¿Hay alguna manera de crear una costumbre y el procedimiento de inicio de sesión seguro para una aplicación Java Web.

Nota: el problema con el suministro del dominio se puede evitar haciendo que los usuarios entran nombre de usuario \ dominio en lugar de solo nombre de usuario en el campo j_username y luego dejar que un reino a medida que decodificar. Esto es sin embargo un poco kludgy y no resuelve el segundo problema de todos modos.

¿Fue útil?

Solución

La interfaz de seguridad JAAS le permite crear un módulo de inicio de sesión personalizado. Este módulo vestíbulo le permitirá tiene ninguna comprobación de seguridad que te gusta. Sugiero que nos fijamos en la información sobre JAAS. 0

Estos son algunos de los enlaces que he usado para ayudar a entender JAAS:

http://www.owasp.org/index.php/JAAS_Tomcat_Login_Module

http://www.javaworld.com/jw -09-2.002 / jw-0913-jaas.html

http://www.jaasbook.com/

http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force-j_security_check-to-go- a-un-específica páginas /

También echar un vistazo a la configuración de Apache Tomcat reinos de cómo hacerlo:

http://tomcat.apache.org/tomcat-6.0 -doc / reino-HOWTO.html

Otros consejos

¿Está considerando primavera seguridad ? Estos son algunas sugerencias con respecto a la caducidad de contraseñas.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top