Как быть с передачей пароля в spring / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Как быть с передачей пароля в spring

11 сообщений из 11, страница 1 из 1

Как быть с передачей пароля в spring

#39801355

bobo96

Гость

Здравствуйте.
В примерах приводится варианты как добавления нового пользователя, так и авторизации существующего. Ниже пример авторизации. Здесь принимается логин и пароль и передаются куда то в дебри спринга. Но прикол в том, что пароль тут принимается в открытом виде, далее уже в дебрях спринга он шифруется с помощью bcrypt и сравнивается с тем, которых хранится в БД.
Если передавать в эту функцию зашифрованный пароль, то ничего есессно не работает. А как сделать, что бы работало ?)) Ибо передавать пароль в открытом виде - это маразм))
Или где-то туплю ?

Код: java

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

    @PostMapping("/signin")
    public BaseResponse authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {

        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        loginRequest.getLogin(),
                        loginRequest.getPassword()
                )
        );

        SecurityContextHolder.getContext().setAuthentication(authentication);

        return new BaseResponse<>(HttpStatus.OK, null, tokenProvider.generateToken(authentication));
    }

...

Рейтинг:

0 / 0

15.04.2019, 11:21

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801369

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

[quot bobo96]Ибо передавать пароль в открытом виде - это маразм))/quot]
- не обязательно, если используется HTTPS, то проблем с безопасностью тут нет

...

Рейтинг:

0 / 0

15.04.2019, 11:36

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801378

bobo96

Гость

Kachalovbobo96Ибо передавать пароль в открытом виде - это маразм))
- не обязательно, если используется HTTPS, то проблем с безопасностью тут нет
Хм, хорошо, в плане протокола согласен.
Но вот сразу ситуация: есть моб. клиент (android, ios - неважно), у них есть такие штуки, как touch и face id. Что бы залогиниться по тому же отпечатку, мне нужно на самом клиенте хранить пару логин\пароль. Пароль получается будет храниться в открытом виде.
Непорядок))

...

Рейтинг:

0 / 0

15.04.2019, 11:50

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801384

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96,
Если андроид, то делать с ним контракт где расписано как передавать и надо ли шифровать.
Пусть клиент шифрует. В чем проблема?

...

Рейтинг:

0 / 0

15.04.2019, 11:58

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801395

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

bobo96Пароль получается будет храниться в открытом виде.
- хорошая статья об этом: Авторизация через отпечатки пальцев на Android

...

Рейтинг:

0 / 0

15.04.2019, 12:09

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801406

bobo96

Гость

Спасибо за советы!
Тут вот сразу пришла мысль: а если серверу отсылать не пару логин\пароль, как обычно, а формировать такой же токен, как сервер формирует при удачной авторизации, и тупо добавить в его payload секцию поля с логином и паролем. Сильно заморочено ?))

...

Рейтинг:

0 / 0

15.04.2019, 12:17

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801412

alex55555

Участник

Сообщения: 1 471

Рейтинг: 0 / 0

bobo96Сильно заморочено ?))
Лишь бы сделать сумел.

...

Рейтинг:

0 / 0

15.04.2019, 12:20

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801416

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

alex55555bobo96Сильно заморочено ?))
Лишь бы сделать сумел.+1
Начни с того что переставь буквы шиворот навыворот.
Если кто заинтересуется твоей прогой, тогда MD5 и сертификат купишь.

...

Рейтинг:

0 / 0

15.04.2019, 12:26

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801419

Kachalov

Участник

Откуда: Москва

Сообщения: 5 558

Рейтинг: 0 / 0

bobo96Тут вот сразу пришла мысль: а если серверу отсылать не пару логин\пароль, как обычно, а формировать такой же токен, как сервер формирует при удачной авторизации, и тупо добавить в его payload секцию поля с логином и паролем. Сильно заморочено ?))
- попробуйте детально расписать алгоритм, я вот не понял как токен созданный клиентом (при проверке отпечатка?) позволит аутентифицироваться на сервере. Хранить токен на клиенте в открытом виде, не сильно безопасней чем хранить на клиенте открытую пару логин/пароль.

...

Рейтинг:

0 / 0

15.04.2019, 12:28

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801439

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

bobo96Ибо передавать пароль в открытом виде - это маразм))без спринга form аутентификация
bobo96Пароль получается будет храниться в открытом виде.
Непорядок))рутовый пароль администратора бд это в открытом виде?
Да у тебя паранойя))

...

Рейтинг:

0 / 0

15.04.2019, 12:53

| Ответить | Цитировать | Написать

Как быть с передачей пароля в spring

#39801445

bobo96

Гость

Понял, всем большое спасибо))

...

Рейтинг:

0 / 0

15.04.2019, 13:06

| Ответить | Цитировать | Написать

11 сообщений из 11, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Как быть с передачей пароля в spring

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&fpage=29&tid=2121373]:	0ms
get settings:	10ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	73ms
get topic data:	13ms
get forum data:	3ms
get page messages:	53ms
get tp. blocked users:	2ms
others:	10ms

total:	187ms