我意识到有无数关于身份验证的问题。此刻,所有这些都让我不知所措。他们似乎对我想做的事情有点矫枉过正。
我将 JSF 2.0 与 Tomcat 一起使用。
我想创建一种允许登录/身份验证的“Hello World”应用程序。我希望用户能够通过一个简单的表单登录并提交一些文本。后续登录将仅显示他们提交的最新文本并允许提交其他文本。
最终的网站不会如此琐碎或课程,但我想奠定登录/身份验证的基础,因为这看起来将是我最大的障碍。
作为第一次可能是 hacky 运行,我创建了自己的基本身份验证。这将解决我的基本问题......为什么我做错了/不安全?
注册后,我将用户 ID 和密码存储在数据库中。我将使用某种散列算法来存储密码,但我还没有决定使用什么。登录后,我会查找从客户端提交的用户 ID/密码的匹配项。如果匹配,我将 userId 存储在会话范围的托管 bean 中,并且用户正在访问他们的数据(暂时只是一个字符串)。
基于我一直在阅读的所有复杂的东西,这样做对我来说似乎太容易了。为什么我的方法不好?我还需要学习如何在登录/注册表单中使用 HTTPS,对吗?
我知道我没有给你太多的工作。抱歉,问题表述不当。我正在努力在这个主题上站稳脚跟,以及寻求一个不会过度杀戮的解决方案的方向。即我不想使用Spring。