Personalizzazione procedura di login in un'applicazione Web Java
https://stackoverflow.com/questions/719747
-
23-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto scrivendo un'applicazione Java che ha bisogno di eseguire una procedura di accesso insolito. Uno dei miei problemi è che l'utente deve fornire più di una semplice combinazione username / password. In particolare, è richiesta una / password combinazione di nome utente / dominio.
Un altro problema è che la mia domanda fa rispettare alcune regole di durata della password (ad esempio: una password diventa valida dopo 90 giorni). Il server di autenticazione che uso si rifiuterà l'autenticazione quando una password è scaduta e costringe l'utente a scegliere una nuova. Perciò il mio processo di login deve essere in grado di gestire questo.
Purtroppo il servlet j_security_check standard non mi permette di fare nulla di tutto ciò. Esiste un modo per creare un costume e procedura di login sicuro per un applicazione java web.
Nota: il problema con la fornitura del dominio può essere aggirato facendo gli utenti inseriscono nome utente \ dominio anziché solo nome utente nel campo j_username e poi lasciare che un regno personalizzato decodificare questo. Questo è comunque un po 'kludgy e non risolve il secondo problema in ogni caso.
Soluzione
L'interfaccia di sicurezza JAAS permette di creare un modulo di login personalizzato. Questo modulo hall vi permetterà di avere alcun controllo di sicurezza che ti piace. Vi suggerisco di guardare le informazioni su JAAS. 0
Ecco alcuni dei link che ho usato per aiutare a capire JAAS:
http://www.owasp.org/index.php/JAAS_Tomcat_Login_Module
http://www.javaworld.com/jw -09-2002 / JW-0913-jaas.html
Anche dare un'occhiata alla configurazione di Apache Tomcat regni how-to:
Altri suggerimenti
Stai pensando Primavera sicurezza ? Questi alcuni suggerimenti per quanto riguarda la scadenza della password.
