Как хэш JAAS j_password на клиенте?

Question

Я просто просматривал несколько основных руководств по использованию JAAS в веб-приложениях.

У меня все наладилось нормально, но заметил, что параметр j_password отправляется из браузера клиента в ясном тексте.

Есть ли способ сделать JAAS хэш этой ценности перед отправкой?

Мое приложение работает на Tomcat 7, поэтому я не знаю, могло ли это быть достигнуто с помощью определенных настроек сервера или с помощью настройки веб-приложения?

Answer 1

Посмотрите The definitive guide to form-based website authentication

Короче говоря, на стороне клиента хеширование паролей требует JavaScript на клиенте; нет такого стандарта, если вы используете аутентификацию на основе форм, которую вы можете просто включить на сервере. В любом случае, убедитесь, что ваше соединение зашифровано (HTTP через SSL). Тогда это меньше/не важно для хэш-паролей на стороне клиента.