認証に関して無数の質問があることを認識しています。現時点では、それらすべてが私を圧倒しています。彼らは私がやりたいことに対してやり過ぎのようです。
Tomcat で JSF 2.0 を使用しています。
ログイン/認証を許可する一種の「Hello World」アプリを作成したいと考えています。ユーザーがログインして、単純なフォームを介してテキストを送信できるようにしたいと考えています。その後のログインでは、送信した最新のテキストが表示され、追加のテキスト送信が可能になります。
最終的なサイトはそれほど簡単ではありませんが、ログイン/認証の基盤を構築したいと考えています。これが私の最大のハードルになりそうです。
最初のおそらくハッキーな実行として、独自の基本的な認証を作成しました。どちらが私の本質的な質問になります...なぜ私がしたことは間違っている/安全でないのですか?
登録時に、ユーザー ID とパスワードをデータベースに保存します。パスワードを保存するためにある種のハッシュ アルゴリズムを使用する予定ですが、何を使用するかはまだ決めていません。ログイン時に、クライアントから送信されたユーザー ID/パスワードの一致を探します。一致する場合は、userId をセッション スコープのマネージド Bean に格納し、ユーザーは自分のデータ (当面は String のみ) にアクセスしようとしています。
私が読んできたすべての洗練されたものに基づいて、この方法でそれを行うのは簡単すぎるようです。なぜ私の方法は悪いのですか?ログイン/登録フォームに HTTPS を使用する方法も学ぶ必要がありますね。
私はあなたに仕事をあまり与えていないことを知っています。下手な質問で申し訳ありません。私はこの問題について足がかりを得ようと奮闘しています。つまり、Spring を使用したくありません。