誰でもページのソースを表示して、ユーザー名とパスワードを見つけることができる JSP ページが与えられました。私の仕事は、それをある程度安全にすることです。少し読んだ後、SHA-256 暗号化システムを実装したいと思いましたが、これを行う方法がよくわかりません。
ハッシュ化されたパスワードはどのように保存すればよいですか? 私は JSP やセキュリティの経験がほとんどないため、手順を完全には理解していません。ユーザーがパスワードを入力し、SHA 256 で暗号化された後、この文字列はテキスト ファイルの文字列と比較されますか? これに最適な方法は何ですか?
手順全体を 1 つの JSP ファイルで実行する場合と複数の JSP ファイルで実行する場合の違いは何ですか。ログインと暗号化が同じファイルで行われることもあれば、フォームが他の JSP ファイルを使用することもあります。
spring web mvc+spring セキュリティ プラグインを使用すると、xml とデータベースだけで必要なものがすべて提供されます
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/admin*" access="hasAnyRole('ROLE_Admin')" />
<form-login login-page="/login" default-target-url="/welcome"
authentication-failure-url="/loginfailed" />
<logout logout-success-url="/login" />
</http>
<authentication-manager>
<authentication-provider>
<password-encoder hash="sha256"/>
<jdbc-user-service data-source-ref="dataSource"
users-by-username-query="
select username,password, enabled
from users where username=?"
authorities-by-username-query="
select u.username, u.authority from users u
where u.username =? "
/>
</authentication-provider>
</authentication-manager>
</beans:beans>