我对用户身份验证很陌生。
我想在我的 Java 应用程序中实现用户身份验证和授权(没有网络的东西,只是普通的桌面)。我发现 Apache Shiro 是一个合适的库。对于我的需求来说,它可能有点太大了,但为什么要发明两次轮子。用户可以使用用户名和密码进行身份验证。密码被加盐和散列并存储在某个地方(在我的情况下是一个文件)。用户权限存储在同一个文件中。权限不受保护(文件是使用 Java 序列化创建的二进制文件除外)。我创建了自己的领域。工作正常。
因此,有权访问该文件的每个人都可以编辑该文件并将所有所需的权限授予某个用户。
我知道 Shiro 更适合在数据库中存储帐户。那么 Shiro 不适合存储在文件中的用户认证吗?
我以为我可以散列权限并验证散列。但是我为什么需要Shiro呢?我希望 Shiro 能够将其作为一个用于身份验证和授权的库。
我是不是完全理解错了,还是我错过了 Shiro 库中的某些功能。
将数据存储在文件中时如何正确完成用户授权?