認証が必要な GWT プロジェクトを作成しました。当初、ユーザーのパスワードは平文でしたが、今は BCrypt でハッシュ化したいと考えています。検索しましたが、Jetty を BCrypt ハッシュ化パスワードに対して認証する方法を説明している場所が見つかりません。
FORM を使用してプレーン テキストと SSL 経由でパスワードをサーバーに送信しています。Jetty でこのパスワードをハッシュ化し、データベース内のパスワードと比較するにはどうすればよいですか?
ありがとうございました;
1 に答える
0
JAAS では、これは LoginModule によって行われます。Jetty 固有の JAASチュートリアル (実際にざっと見ただけです) では、独自の JAAS を実装し、それを使用するように Jetty を構成する方法について説明しています。
Igor がリンク先の投稿で既に指摘し、説明しているように、コンテナー セッション管理だけでは、XSRF を防御するには十分ではありません。JAAS は引き続き使用できますが、サーバー呼び出しが、Cookie に保存されていないトークンによってさらに保護されていることを確認してください。
個人的には、Cookie で使用されているトークンとは別のトークンを使用します。これは、XSS から少し保護するのに役立ちます (そうしないと、httpOnly クッキーの目的が無効になります)。
于 2010-06-16T00:59:18.850 に答える