Cómo autenticarse correctamente en Java

2

Tengo que escribir algún módulo de inicio de sesión para la aplicación Java EE.

Anteriormente, estaba usando JBoss security ; se proporcionó el inicio de sesión y la contraseña, se llamó HttpServletRequest con el método de inicio de sesión y JBoss security hizo la magia. Esa autenticación utiliza Hash - SHA .

En este momento estoy pensando en la eliminación de contraseñas. Tengo la biblioteca jbcrypt Proporciona hashing y comprobación. Pero no sé (mayby todavía :)) cómo usarlo con HttpServletRequest .

Y eso lleva a la pregunta: ¿qué pasa si simplemente tengo una contraseña y la comparo en el código con hashedPassword.equals(databasePassword) ? ¿Es una opción mala en comparación con JBoss security ?

Quiero usar BCrypt.checkpw(candidate, hashed) y me puede decir si la contraseña coincide. ¿Puedo hacer eso en el código o es mejor usar HttpServletRequest ?

    
pregunta user2377971 03.09.2014 - 16:26
fuente

1 respuesta

1

Es mejor no rodar el tuyo en esto. Las personas que son buenas en eso han estado incorporando tales características en marcos y bibliotecas. Aquí hay dos que cubren eso y más:

API de seguridad empresarial OWASP enlace

HDIV enlace

OWASP también ofrece una gran cantidad de conocimientos sobre seguridad web en general. También puede buscar en Google su sección sobre el manejo de contraseñas si tiene la intención de rodar su propia cuenta de todos modos. Le dirán lo bueno y lo malo desde el registro hasta el almacenamiento y la recuperación.

    
respondido por el Nick P 04.09.2014 - 03:06
fuente

Lea otras preguntas en las etiquetas