Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
 Как быть с передачей пароля в spring  [new]
bobo96
Member

Откуда:
Сообщений: 88
Здравствуйте.
В примерах приводится варианты как добавления нового пользователя, так и авторизации существующего. Ниже пример авторизации. Здесь принимается логин и пароль и передаются куда то в дебри спринга. Но прикол в том, что пароль тут принимается в открытом виде, далее уже в дебрях спринга он шифруется с помощью bcrypt и сравнивается с тем, которых хранится в БД.
Если передавать в эту функцию зашифрованный пароль, то ничего есессно не работает. А как сделать, что бы работало ?)) Ибо передавать пароль в открытом виде - это маразм))
Или где-то туплю ?
    @PostMapping("/signin")
    public BaseResponse authenticateUser(@Valid @RequestBody LoginRequest loginRequest) {

        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        loginRequest.getLogin(),
                        loginRequest.getPassword()
                )
        );

        SecurityContextHolder.getContext().setAuthentication(authentication);

        return new BaseResponse<>(HttpStatus.OK, null, tokenProvider.generateToken(authentication));
    }
15 апр 19, 11:21    [21862159]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Kachalov
Member

Откуда: Москва
Сообщений: 5632
[quot bobo96]Ибо передавать пароль в открытом виде - это маразм))/quot]
- не обязательно, если используется HTTPS, то проблем с безопасностью тут нет
15 апр 19, 11:36    [21862184]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
bobo96
Member

Откуда:
Сообщений: 88
Kachalov
bobo96
Ибо передавать пароль в открытом виде - это маразм))

- не обязательно, если используется HTTPS, то проблем с безопасностью тут нет

Хм, хорошо, в плане протокола согласен.
Но вот сразу ситуация: есть моб. клиент (android, ios - неважно), у них есть такие штуки, как touch и face id. Что бы залогиниться по тому же отпечатку, мне нужно на самом клиенте хранить пару логин\пароль. Пароль получается будет храниться в открытом виде.
Непорядок))
15 апр 19, 11:50    [21862207]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 38643
bobo96,
Если андроид, то делать с ним контракт где расписано как передавать и надо ли шифровать.
Пусть клиент шифрует. В чем проблема?
15 апр 19, 11:58    [21862220]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Kachalov
Member

Откуда: Москва
Сообщений: 5632
bobo96
Пароль получается будет храниться в открытом виде.

- хорошая статья об этом: Авторизация через отпечатки пальцев на Android
15 апр 19, 12:09    [21862243]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
bobo96
Member

Откуда:
Сообщений: 88
Спасибо за советы!
Тут вот сразу пришла мысль: а если серверу отсылать не пару логин\пароль, как обычно, а формировать такой же токен, как сервер формирует при удачной авторизации, и тупо добавить в его payload секцию поля с логином и паролем. Сильно заморочено ?))
15 апр 19, 12:17    [21862265]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
alex55555
Member

Откуда:
Сообщений: 2129
bobo96
Сильно заморочено ?))

Лишь бы сделать сумел.
15 апр 19, 12:20    [21862276]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 38643
alex55555
bobo96
Сильно заморочено ?))

Лишь бы сделать сумел.
+1
Начни с того что переставь буквы шиворот навыворот.
Если кто заинтересуется твоей прогой, тогда MD5 и сертификат купишь.
15 апр 19, 12:26    [21862286]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Kachalov
Member

Откуда: Москва
Сообщений: 5632
bobo96
Тут вот сразу пришла мысль: а если серверу отсылать не пару логин\пароль, как обычно, а формировать такой же токен, как сервер формирует при удачной авторизации, и тупо добавить в его payload секцию поля с логином и паролем. Сильно заморочено ?))

- попробуйте детально расписать алгоритм, я вот не понял как токен созданный клиентом (при проверке отпечатка?) позволит аутентифицироваться на сервере. Хранить токен на клиенте в открытом виде, не сильно безопасней чем хранить на клиенте открытую пару логин/пароль.
15 апр 19, 12:28    [21862294]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 38643
bobo96
Ибо передавать пароль в открытом виде - это маразм))
без спринга form аутентификация
bobo96
Пароль получается будет храниться в открытом виде.
Непорядок))
рутовый пароль администратора бд это в открытом виде?
Да у тебя паранойя))
15 апр 19, 12:53    [21862352]     Ответить | Цитировать Сообщить модератору
 Re: Как быть с передачей пароля в spring  [new]
bobo96
Member

Откуда:
Сообщений: 88
Понял, всем большое спасибо))
15 апр 19, 13:06    [21862373]     Ответить | Цитировать Сообщить модератору
Все форумы / Java Ответить