博主探讨了在Java桌面应用中实现用户身份验证和授权的需求,选择了Apache Shiro作为潜在的解决方案。虽然Shiro通常推荐与数据库配合使用,但博主尝试将用户信息和权限存储在文件中,通过散列和盐处理密码。然而,这种方法的安全隐患在于文件易被篡改。博主质疑Shiro在这种场景下的适用性,并询问是否有必要使用Shiro。总结中强调了在文件中安全存储用户数据和权限的挑战。
我对用户身份验证很新 .
我想在我的Java应用程序中实现用户身份验证和授权(没有网络内容,只有简单的dekstop) . 我发现Apache Shiro是一个合适的库 . 它可能对我的需求来说有点太大,但为什么要发明轮子两次 . 用户可以使用用户名和密码进行身份验证 . 密码被盐渍并散列并存储在某处(在我的例子中是在文件中) . 用户权限存储在同一文件中 . 权限不受保护(文件是使用Java序列化创建的二进制文件除外) . 我创造了自己的王国 . 工作良好 .
因此,有权访问该文件的每个人都可以编辑该文件并为特定用户提供所有所需的权限 .
我知道Shiro更适合在数据库中存储帐户 . 那么Shiro不适合存储在文件中的用户身份验证吗?
我以为我可以散列权限并验证散列 . 但为什么我需要Shiro呢?我希望Shiro能够将其作为一个用于身份验证和授权的库 .
我是否理解完全错误或者错过了Shiro库中的某些功能 .
将数据存储在文件中时,如何正确完成用户授权?
扫一扫
629
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
