Я пытаюсь аутентифицировать пользователей с помощью службы REST, которую я создал с помощью мастера сброса. Из предыдущих вопросов, я нашел отличный пример аутентификации с OpenId на GitHub: https://github.com/gary-rowe/DropwizardOpenIDКак аутентифицировать пользователей из службы отдыха
Однако, я не хочу иметь дело с OpenId в данный момент и просто хочу пользователей 1. Signup, 2. зарегистрировалось
Моих вопросы/неурядицы являются:
Для Signup: Я думаю об отправке имя пользователя/пароль пользователей в качестве
POST
запроса с учетными данными, как либо параметров формы или части тела JSON. Однако нет ли здесь угрозы безопасности при отправке пароля в виде обычного текста?Для Sing-in Я думаю об использовании
Authenticator
в Dropwizard.Я не хочу хранить пароли в текстовом виде. Какую стратегию следует придерживаться после того, как я получу пароль пользователей в
POST
в виде обычного текста? Я ищу для некоторых ява библиотек, которые могут помочь в соли пароля и MD5
Вы прочитали документацию [аутентификация] (http://dropwizard.codahale.com/manual/auth/#oauth2)? OAuth2 будет самым безопасным и RESTful подходом; как для отправки кредитов в виде открытого текста, вы строите веб-интерфейс? Если да, обслуживайте свой сайт через https, и это не будет проблемой. – brandonscript
Я не вижу никаких внешних приложений, использующих API для данных. Мой api будет использоваться мобильным и веб-интерфейсом моего приложения. Разве Oauth2 не переусердствовал бы для этого? – birdy
OAuth2 - отличный способ гарантировать, что каждый зарегистрированный пользователь получит свой токен доступа, который вы можете отслеживать и управлять. Не говоря уже об отбрасывании API (и используя только сеанс/файлы cookie), это по-прежнему лучший и наиболее масштабируемый подход. Делайте работу сейчас, она будет длиться (навсегда?) – brandonscript