Tengo que escribir algún módulo de inicio de sesión para la aplicación Java EE.
Anteriormente, estaba usando JBoss security
; se proporcionó el inicio de sesión y la contraseña, se llamó HttpServletRequest
con el método de inicio de sesión y JBoss security
hizo la magia. Esa autenticación utiliza Hash - SHA
.
En este momento estoy pensando en la eliminación de contraseñas. Tengo la biblioteca jbcrypt
Proporciona hashing y comprobación. Pero no sé (mayby todavía :)) cómo usarlo con HttpServletRequest
.
Y eso lleva a la pregunta: ¿qué pasa si simplemente tengo una contraseña y la comparo en el código con hashedPassword.equals(databasePassword)
? ¿Es una opción mala en comparación con JBoss security
?
Quiero usar BCrypt.checkpw(candidate, hashed)
y me puede decir si la contraseña coincide. ¿Puedo hacer eso en el código o es mejor usar HttpServletRequest
?