Настройка процедуры входа в систему в веб -приложении Java
-
23-08-2019 - |
Вопрос
Я пишу приложение Java, которое необходимо выполнить необычную процедуру входа в систему. Одна из моих проблем заключается в том, что пользователю необходимо предоставить больше, чем простое комбинация имени пользователя/пароля. В частности, требуется комбинация имени пользователя/пароля/домена.
Другая проблема заключается в том, что мое приложение обеспечивает соблюдение некоторых правил жизни пароля (например, пароль становится недействительным через 90 дней). Сервер аутентификации, который я использую, откажется от аутентификации, когда срок действия пароля истек, и заставляет пользователя выбрать новый. Поэтому мой процесс входа в систему должен быть в состоянии справиться с этим.
К сожалению, стандартный сервлет j_security_check не позволяет мне делать что -либо из этого. Есть ли способ создать пользовательскую и безопасную процедуру входа в систему для веб -приложения Java.
ПРИМЕЧАНИЕ. Проблема с поставкой домена может быть оборвана, если пользователи вводят имя пользователя domain вместо просто имени пользователя в поле J_USERNAME, а затем позволить пользовательской царстве декодировать это. Это, однако, немного Kludgy и в любом случае не решает вторую проблему.
Решение
Интерфейс безопасности JAAS позволяет создавать пользовательский модуль входа в систему. Этот лобби -модуль позволит вам провести какую -либо проверку безопасности, которая вам нравится. Я предлагаю вам посмотреть информацию о JAAS. 0
Вот некоторые из ссылок, которые я использовал, чтобы помочь понять JAAS:
http://www.owasp.org/index.php/jaas_tomcat_login_module
http://www.javaworld.com/jw-09-2002/jw-0913-jaas.html
Также посмотрите на конфигурацию Apache Tomcat Realms
Другие советы
Рассматриваешь ли ты Весенняя безопасность? Эти некоторые предложения относительно истечения срока действия пароля.