2
我創建了一個需要驗證的GWT項目。最初,用戶的密碼是純文本的,但現在我想用BCrypt對它們進行散列。我搜索,但我找不到描述如何使Jetty驗證對BCrypt哈希密碼的地方。當使用bcrypt對密碼進行散列處理時驗證webapps
我使用純文本格式和SSL通過FORM發送密碼到服務器。我需要做什麼才能讓Jetty把這個密碼加密並將其與數據庫中的密碼進行比較?
謝謝;
A
回答
0
在JAAS中,這是通過LoginModule完成的。 Jetty-specific JAAS教程(我剛剛瀏覽過)解釋瞭如何實現自己的配置,並配置Jetty以使用它。
正如伊戈爾已經注意到並在他所鏈接的文章中解釋的那樣,容器會話管理本身並不足以抵禦XSRF。您仍然可以使用JAAS - 但請確保您的服務器通話是另外受存儲在Cookie中的令牌而不是保護。
我會親自使用與cookie中使用的令牌不同的令牌。這有助於保護一點XSS(否則,你會擊敗httpOnly cookies的目的)。
相關問題
- 1. 驗證bcrypt散列?
- 2. Bcrypt密碼驗證
- 3. 密碼salting /散列與bcrypt
- 4. Shiro - 無法使用散列密碼進行身份驗證
- 5. 用bcrypt遷移系統散列密碼
- 6. 密碼驗證無法使用密碼哈希BCRYPT
- 7. 驗證密碼散列,並用password_hash
- 8. 使用NetValidatePasswordPolicy驗證以前散列密碼的密碼
- 9. password_verify()不驗證散列密碼
- 10. 使用Bcrypt與phpto散列密碼不工作
- 11. 如何處理BCrypt哈希密碼?
- 12. 密碼驗證代碼,處理C++ cstrings
- 13. 如何驗證用戶登錄時的散列密碼
- 14. Active Directory可以使用MD5散列密碼驗證用戶
- 15. BCrypt驗證數據庫中密碼的密碼
- 16. 試圖驗證散列密碼和驗證登錄pdo php
- 17. 屏幕驗證,JPA驗證和散列密碼
- 18. 使用節點j無法驗證Express中的散列密碼
- 19. 通過網絡處理密碼驗證
- 20. 當我不知道密碼時使用WS-Security進行身份驗證
- 21. 如何使用c#對salt進行加密和散列密碼值?
- 22. 我的登錄腳本在驗證散列密碼時失敗
- 23. 使用預處理語句獲取散列密碼
- 24. 使用Bcrypt進行用戶身份驗證
- 25. 使用md5散列密碼
- 26. 使用PPK密鑰和密碼進行多因素身份驗證(非密碼)
- 27. 使用PHP哈希處理後無法驗證密碼
- 28. 如何使用bcrypt將純文本密碼與哈希密碼進行比較?
- 29. 使用Spring Security進行密碼散列安全
- 30. 在mongoengine中使用md5進行密碼散列
如果我理解正確,你想(或者說已經有)Jetty來處理會話/用戶管理 - 你可能想看看在你的應用程序中編寫身份驗證部分 - 看到這個問題:http:// stackoverflow。 COM /問題/ 2974100 /問題上,GWT餅乾和 - 網頁導向。它應該給你最大的靈活性(整合BCrypt沒有問題)和安全性(通過容器的會話管理通常容易受到XSRF攻擊)。總的來說,它是灰心的 - 在GWT的Google Group上搜索''會話管理'',但當然是YMMV :) – 2010-06-15 18:26:27