Devo scrivere un modulo di login per l'applicazione Java EE.
In precedenza utilizzavo JBoss security - accesso e password forniti, chiamati HttpServletRequest con metodo di accesso e JBoss security ha fatto la magia. Quell'autenticazione usa Hash - SHA .
In questo momento sto pensando di salare le password. Ho ottenuto jbcrypt library. Fornisce hashing e controllo. Ma non so (forse ancora :)) come usarlo con HttpServletRequest .
E questo porta a chiedersi cosa succede se ho semplicemente la password di hash e la confronto nel codice con hashedPassword.equals(databasePassword) ? È una cattiva opzione di confronto con JBoss security ?
Voglio usare BCrypt.checkpw(candidate, hashed) e può dirmi se la password è abbinata. Posso farlo in codice o è meglio usare HttpServletRequest ?