Spring Boot Security - proces rejestracji i logowania

Odpowiedz Nowy wątek
2019-04-07 13:40
0

W jaki sposób w Spring Security i aplikacjach REST realizuje się rejestrachę autentykacje użytkowników?
Czy jest to coś takiego?
1) Użytkownik rejestruje się podając login i hasło w kliencie, przesyłane jest to po HTTPS zabezpieczone, i w backendzie hasło jest hashowane i w taki sposób przechowywane w bazie?

2) w momencie logowania dajemy zapytanie GET do serwera z loginem i hasłem, hasło haszowane i sprawdzane czy zgodne jest z haszem w bazie po czym klient dostaje zwrotkę z tokenem i token ten jest przesyłany w każdym kolejnym zapytaniu w nagłówku Authentication w zapytaniach?

Czy może hasła powinny być haszowane od razu w kliencie żeby nie pchać tego przez sieć ?
A może na podstawie loginu i hasła wyliczać hasz i mieć jedna tabele w bazie gdzie ten hasz będzie przechowywany a inne info o userze w innej?
W jaki sposób się to realizuje aby było bezpiecznie?

Polecam zerknąć na Authentication Cheat Sheet od OWASP. - catom 2019-04-09 13:41

Pozostało 580 znaków

2019-04-07 13:44
0

Użytkownik przesyła nie shashowane hasło i w momencie rejestacji/loginu następuje hashowanie :)


Nie pomagam przez PM. Pytania zadaje się na forum.

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0