Posts Tagged ‘spring security 3’

Spring security 3 custom password encoder

Posted on: July 19th, 2012 by Spade No Comments »

Популярный фреймворк Spring security 3 всем хорош, и прежде всего с двух сторон: там есть почти все что нужно, причем по умолчанию. А если нет – можно очень легко добавить или расширить.

Для случая аутентификации, например есть много вариантов работы с паролями. Это реализуется с помощью тэга password-encoder:

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailsServiceImpl">
            <password-encoder hash="md5"/>
        </authentication-provider>
    </authentication-manager>

Там можно указать тип хэша, который хранится в базе. На выбор есть md5, sha, plaintext и др. (если вы храните пароли в базе в плейн тексте, просим вас оставаться на месте – служба зачистки уже выехала за вами). В последнее время участились случаи «увода» базы хэшей и их расшифровки (даже среди крупных игроков ИТ-рынка), и потому заказчики стали обращать больше внимания на то, как хранятся данные пользователей, и насколько легко получить вход в аккаунт, если хэш пароля стал известен. Алгоритмы предлагаемые Spring security 3 по умолчанию нельзя назвать особо защищенными, но сам фреймворк нам как-бы говорит – «Не нравится? Пиши своё». Воспользуемся его предложением.
(more…)

Spring Security 3 Custom Authentication

Posted on: September 13th, 2011 by Spade No Comments »

Редкое web приложение не имеет админ. части. В этой статье мы рассмотрим как настроить защищенный доступ к бэк-енду системы на Spring Framework 3. Для простоты будем полагать, что вся система закрыта, то есть администраторская часть лежит на отдельном домене/субдомене и не пересекается урл с front-end. Скачиваем необходимые библиотеки spring-security-…-3.0.5.RELEASE.jar (они идут отдельно) и приступаем… (more…)