我正在尝试使用Dropwizard构建的REST服务对用户进行身份验证。之前我在github上找到了一个关于使用openID进行身份验证的很好的例子:https://github.com/gary-rowe/DropwizardOpenID
然而,目前我不想处理openID,只想让用户1.注册,2.登录。
我的问题/困惑如下:
1. 对于注册:我考虑将用户的用户名/密码作为POST请求发送,凭据可以作为表单参数或JSON主体的一部分。但是,这里发送明文密码是否存在安全风险?
2. 对于登录:我考虑使用Dropwizard中的Authenticator。
3. 我不想以明文形式存储密码。在以明文形式接收到用户密码后,应该采取什么策略?我正在寻找一些Java库来协助进行密码盐和MD5处理。
我的问题/困惑如下:
1. 对于注册:我考虑将用户的用户名/密码作为POST请求发送,凭据可以作为表单参数或JSON主体的一部分。但是,这里发送明文密码是否存在安全风险?
2. 对于登录:我考虑使用Dropwizard中的Authenticator。
3. 我不想以明文形式存储密码。在以明文形式接收到用户密码后,应该采取什么策略?我正在寻找一些Java库来协助进行密码盐和MD5处理。