Spring Securityでセキュリティを強化する #2 - m-namikiの日記
前回の記事ではアカウントのロックアウトについて考えてみました。今回はパスワードのSalt対応について考えてみます。 パスワードのSaltについてですが、今回は分かりやすくするためにユーザIDをパスワードに追加したものをハッシュ化する、という方法を採ります。 パスワードを保護する場合の方法については、こちらのページが分かりやすいかと。 本当は怖いパスワードの話(1/4) − @IT SpringSecurityでは、Saltをユーザ情報のプロパティから取るか、システムで共通の値を取るかを指定することができます。 Saltをユーザ情報のプロパティから取得する場合は以下のように記述します。 <authentication-manager> <authentication-provider user-service-ref="myUserDetailsService"> <password-enc
Spring Security でアカウントロック機構を実現する - 倖せの迷う森
アカウントロック機構は、パスワード認証をともなうWebアプリケーションの開発ではしばしばセキュリティ要件として盛り込まれることがあります。また、Webサービスのユーザーとしても馴染みのある機能のひとつでしょう。今日は、この機能を Spring Security の認証の枠組みの中で実現する方法について紹介します。なお、本記事は Spring Security 3.0.4 をベースに書かれています。 いきなりですが、 Spring Security では、アカウントロック機構は提供されていません。アカウントをロックするのは認証サービスが行うべきことであり、認証サービスとアプリケーションをつなぐためのフレームワークである Spring Security には、そのような義務はありません。また、アカウントロックの実現方式についても、認証サービスに強く依存します。ですので、アプリケーションへの要求
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
