Personnalisation de la procédure de connexion dans une application Web Java

StackOverflow https://stackoverflow.com/questions/719747

Question

J'écris une application Java qui doit effectuer une procédure de connexion inhabituelle. L'un de mes problèmes est que l'utilisateur doit fournir plus qu'une simple combinaison de nom d'utilisateur / mot de passe. Plus précisément, une combinaison de nom d'utilisateur / mot de passe / domaine est requise.

Un autre problème est que mon application applique certaines règles de durée de vie de mot de passe (par exemple: un mot de passe devient invalide après 90 jours). Le serveur d'authentification que j'utilise refusera l'authentification lorsqu'un mot de passe est expiré et oblige l'utilisateur à en choisir un nouveau. Par conséquent, mon processus de connexion doit être capable de gérer cela.

Malheureusement, le servlet J_Security_check standard ne me permet pas de faire tout cela. Existe-t-il un moyen de créer une procédure de connexion personnalisée pour une application Web Java.

Remarque: Le problème avec la fourniture du domaine peut être résolu en faisant entrer les utilisateurs dans le domaine UserName au lieu de simplement nom d'utilisateur dans le champ J_Username, puis laissez un royaume personnalisé décoder cela. C'est cependant un peu kludgy et ne résout pas le deuxième problème de toute façon.

Était-ce utile?

La solution

L'interface de sécurité JAAS vous permet de créer un module de connexion personnalisé. Ce module de lobby vous permettra de vérifier la sécurité que vous aimez. Je vous suggère de regarder les informations sur les JAAS. 0

Voici quelques-uns des liens que j'ai utilisés pour aider à comprendre les JAAS:

http://www.owasp.org/index.php/jaas_tomcat_login_module

http://www.javaworld.com/jw-09-2002/jw-0913-jaas.html

http://www.jaasbook.com/

http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-posible-to-force-j_security_check-to-go-to-a-specific-page/

Jetez également un œil à la configuration de la configuration des royaumes d'Apache Tomcat:

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html

Autres conseils

Envisagez-vous Sécurité du printemps? Ces sont quelques suggestions concernant l'expiration du mot de passe.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top