0

我正在编写一个需要执行异常登录过程的 java 应用程序。我的问题之一是用户需要提供的不仅仅是简单的用户名/密码组合。具体来说,需要用户名/密码/域组合。

另一个问题是我的应用程序强制执行一些密码生命周期规则(例如:密码在 90 天后失效)。当密码过期时,我使用的身份验证服务器将拒绝身份验证并强制用户选择一个新的。因此我的登录过程必须能够处理。

不幸的是,标准的 j_security_check servlet 不允许我这样做。有什么方法可以为 Java Web 应用程序创建自定义且安全的登录过程。

注意:提供域的问题可以通过让用户在 j_username 字段中输入用户名\域而不是只输入用户名来解决,然后让自定义领域对其进行解码。然而,这有点笨拙,无论如何都不能解决第二个问题。

4

2 回答 2

3

您是否正在考虑Spring 安全性这些是关于密码过期的一些建议。

于 2009-04-05T21:51:07.723 回答
2

JAAS 安全接口允许您创建自定义登录模块。这个大厅模块将允许您进行任何您喜欢的安全检查。我建议您查看有关 JAAS 的信息。0

以下是我用来帮助理解 JAAS 的一些链接:

http://www.owasp.org/index.php/JAAS_Tomcat_Login_Module

http://www.javaworld.com/jw-09-2002/jw-0913-jaas.html

http://www.jaasbook.com/

http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force-j_security_check-to-go-to-a-specific-page/

另请查看 Apache tomcat 领域配置操作方法:

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html

于 2009-04-06T00:34:41.513 回答