【发布时间】:2018-08-22 13:19:23
【问题描述】:
作为一名 .net 开发人员,我正在使用 java 进行学习。
我正在尝试开发一些 REST Web 服务,并且我想保护它们。 In.net 我使用基于令牌的身份验证,我猜类似于 OAuth1。
在 .net 中,有许多库可供使用,建议不要自己存储用户凭据。所以我能够实现以下类和接口:OAuthAuthorizationServerProvider & IAuthenticationTokenProvider。 这需要处理加盐、散列、验证令牌、令牌过期等。
在 java 中存储凭据和用户令牌的行业标准或推荐做法是什么?我找到了 apache shiro 和 spring security,但我发现要么是存储在文件中的用户信息,要么是硬编码的用户名和密码。
理想情况下,我想使用休眠进行数据库工作。 我正在尝试找出存储用户凭据和用户令牌等的最佳/推荐方式。
我尽量不要“自己动手”,因为始终不建议这样做。但同时,我想使用尚未被破坏的正确加密和散列标准。
【问题讨论】:
-
例如,在 .NET 中有一个 UserManager 基类,我可以从中继承,然后我需要重写几个方法和属性,它将为我处理存储、密码加密、加盐等.
标签: java spring security authentication spring-security