使用 bcrypt 对密码进行哈希处理时的 Web 应用程序身份验证

Question

我创建了一个需要身份验证的 GWT 项目。最初，用户的密码是纯文本形式，但现在我想用 BCrypt 对它们进行哈希处理。我进行了搜索，但找不到描述如何使 Jetty 针对 BCrypt 哈希密码进行身份验证的地方。

我使用纯文本格式并通过 SSL 将密码发送到服务器。我需要做什么才能使 Jetty 散列此密码并将其与数据库中的密码进行比较？

谢谢;

Answer 1

在 JAAS 中，这是由 LoginModule 完成的。 Jetty 特定的 JAAS 教程（我实际上只是浏览了一下）解释了，如何可以实现您自己的，并配置 Jetty 来使用它。

正如 Igor 在他链接的帖子中指出和解释的那样，仅靠容器会话管理不足以防御 XSRF。您仍然可以使用 JAAS - 但请确保您的服务器调用另外受到存储在 cookie 中的令牌的保护。

我个人会使用与 cookie 中使用的令牌不同的令牌。这有助于防止 XSS（否则，您将无法达到 httpOnly cookie）。