Ich bin überwältigt von authentifizierenden Benutzern für meine erste einfache Web-App. Ich benutze JSF2.0 + Tomcat

Question

Ich weiß, es gibt eine Vielzahl von Fragen zur Authentifizierung. Sie alle überwältigen mich im Moment. Sie scheinen übertrieben zu sein für das, was ich tun möchte.

Ich verwende JSF 2.0 mit Tomcat.

Ich möchte eine Art "Hello World" -App erstellen, die die Anmeldung/Authentifizierung ermöglicht. Ich möchte, dass sich der Benutzer über ein einfaches Formular anmelden und Text eingeben kann. Nachfolgende Anmeldungen zeigen einfach den zuletzt von Ihnen eingereichten Text an und ermöglichen zusätzliche Texteinreichungen.

Die endgültige Website wird nicht so trivial sein, oder natürlich, aber ich möchte die Anmelde-/Authentifizierungsbasis legen, da dies aussieht, als wäre es meine größte Hürde für mich.

Als erster Hacky Run habe ich meine eigene rudimentäre Authentifizierung erstellt. Was zu meiner wesentlichen Frage kommt ... Warum ist was ich falsch/unsicher gemacht habe?

Bei der Registrierung speichern ich die Benutzer-ID und das Passwort in der Datenbank. Ich werde eine Art Hashing-Algorithmus verwenden, um das Passwort zu speichern, aber ich habe noch nicht entschieden, was ich noch verwenden soll. Bei der Anmeldung suche ich nach einer Übereinstimmung der Benutzer-ID/des Passworts, die vom Client übermittelt wurden. Wenn es eine Übereinstimmung gibt, speichere ich die Benutzer-ID in einem verwalteten Bean des Sitzungsbereichs, und der Benutzer ist auf dem Weg, auf seine Daten zuzugreifen (momentan nur ein String).

Dies zu tun scheint mir zu einfach, basierend auf all den raffinierten Sachen, die ich gelesen habe. Warum ist meine Methode schlecht? Ich muss auch lernen, wie man HTTPS für die Anmelde-/Registrierungsformulare verwendet, richtig?

Ich weiß, dass ich Ihnen nicht viel gegeben habe, um damit zu arbeiten. Entschuldigung für die schlecht formulierte Frage. Ich habe Mühe, in diesem Bereich Fuß zu fassen und in die Richtung zu gehen, in der es keine massive Überforderung gibt. Ich möchte den Frühling nicht benutzen.

Answer 1

Es ist eine große Antwort. Aber kurz gesagt müssen Sie Folgendes tun:

Zuerst Für eine grundlegende Form basierte Authentifizierung einen Blick auf dieses example

aber Sie müssen eine Möglichkeit haben, die Rolle in web.xml aus LDAP-Verzeichnis Abrufen oder eine Datenbank oder ein anderer Dienst.

So benötigen Sie einen Bereich zu konfigurieren, dass die Rolle aus einer Datenbank zuzugreifen (in Ihrem Fall), die here

erwähnt wird, und schließlich, wenn Sie SSL verwenden möchten, müssen Sie dies here

erwähnt konfigurieren Ein anderes Beispiel link. Wenn Sie noch etwas Klarheit benötigen, können Sie sich eine Kopie des Core JavaServer Faces-Buchs besorgen und auf Kapitel 12 verweisen.