5

我知道如何设置使用表单身份验证和使用摘要密码(例如 SHA-256)的 vanilla 容器管理的安全性。像这样的东西:

web.xml

<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>jdbc</realm-name>
    <form-login-config>
        <form-login-page>/login.jsf</form-login-page>
        <form-error-page>/login-error.jsf</form-error-page>
    </form-login-config>
</login-config>

登录.xhtml

<form action="j_security_check">
    <p><label>
        Username:<br/>
        <input type="text" name="j_username" />
    </label></p>
    <p><label>
        Password:<br/>
        <input type="password" name="j_password" />
    </label></p>
    <p>
        <button type="submit">Submit</button>
    </p>
</form>

非常简单——但我真正想做的是用全局盐和用户名对密码进行加盐。是的,我知道这并不理想,但现在,我只是在构建一个概念验证。

容器(在这种情况下是 GlassFish 3)可以为我执行此操作,还是我必须编写自己的登录过滤器?我以前做过(针对 J2EE 应用程序),但我的直觉告诉我,既然我使用的是 Java EE 6,就必须有一种更严格的方法来做这件事。

4

1 回答 1

3

我感觉您正在寻找一种快速(可能很脏?)的方式来修改内置身份验证提供程序。

正确的方法是为新的 JASPIC API ( JSR-196 ) 实现您自己的 Java Authentication Service Provider。它比较费力,但是这种方法可以让您以任何喜欢的方式滚动实现,并且它应该与任何 Java EE 6 应用程序服务器兼容。

对于带有密码加盐的基本身份验证方案,实现这样的提供程序应该非常简单。您将不得不考虑管理用户和密码,但一种解决方案可能是让您的提供商重新使用 Glassfish 身份验证领域中定义的用户,这样您只需自己管理自定义加盐密码。

有一个很好的 WebSphere 教程,您应该可以在此处适应 Glassfish 。

于 2010-12-16T23:14:31.663 回答