Login-Authentifizierung mithilfe des Winkel - + java-rest-api

Ich habe versucht, hart zu arbeiten, das für die login-Authentifizierung mithilfe eckig als client und jersey ausgesetzt als rest-web-service im backend.

Hier ist, was ich erreicht aus der letzten drei Tage.

Winkel-code zum erfassen von E-Mail und Passwort:

myApp.controller('loginController',['$scope','$http', function($scope, $http)
{
$scope.email = "" ;
$scope.password = "" ;

$scope.loginForm = function(){
    alert("login controller called");
    console.log($scope.email);
    console.log($scope.password);
    var encodedString = 'email=' +
            encodeURIComponent($scope.email) +
            '&password=' +
            encodeURIComponent($scope.password);
    $http({
        method:'POST',
        url: 'rs/loginResource',
        data: encodedString,
        headers: {'Content-Type' : 'application/x-www-form-urlencoded'}
    });
};
}]);

Java-rest-code:

@Path("/loginResource")
public class LoginResource {

    public LoginResource() {
    }

    @POST
    @Consumes("application/x-www-form-urlencoded")
    public void login(@FormParam("email") String email,
            @FormParam("password") String password) {
        System.out.println("Email is: " + email);       //prints output
        System.out.println("Password is: " + password); //prints output
    }
}

Und nun meine Frage ist, wo gehen Sie von hier aus nach dem aufstehen die POST-Daten aus Formular Absenden. Wie Sie sehen können ich bin nur der Druck der Werte, sondern ich möchte, um zu überprüfen die E-Mail und Kennwort mit der Datenbank(oracle). Wie würde ich es angehen? Soll ich einfach die Verbindung Klasse und dao oder gehen Sie für die JPA, die ich noch nicht gelernt haben, noch - was ist die Lernkurve für Sie?

Gibt es eine design-Muster beteiligt? Normalerweise verwende ich Dao und pojo, wenn seine reinen java-aber ich bin neu auf rest-api, zu kämpfen mit den eckigen. Ich kaum finden alle Beispiele auf Vanille-java+Winkel, wo die meisten von Ihnen basieren auf Frühling+eckig.

InformationsquelleAutor kittu | 2015-12-26
  1. -2

    Allgemein login geht wie folgt:

    • Client ruft server mit login-details
    • Server überprüft die Zugangsdaten für die Datenbank, wenn gültig, legt Sie eine Sitzung. Wenn es ungültig ist, wird der server zurück sehr generische Fehlermeldung als Antwort. Wichtig für den AUFTRAGGEBER nicht alle Informationen darüber, welche Teil der Vorlage war falsch (gibt Angreifern mehr info).

    Für diese werden Sie wollen, Lesen Sie in Sitzungen. Hier sind einige links:

    Gibt es viele Informationen über dieses problem im internet.

    Auch für generische REST-APIs Authentifizierung geschieht meist in der form eines Tokens. Der Fluss sieht etwas anders aus:

    • Client ruft server mit irgendeiner Art von auth info
    • Der server generiert ein token mit so etwas wie Json Web Token und gibt Sie an den client. In der Regel haben diese ein Ablaufdatum. Der server ist möglicherweise verfallen auch alle anderen Token für den Benutzer.
    • Sendet der client die token, die in der Regel als header mit jeder zukünftigen Anfrage.

    Gibt es viele Möglichkeiten, zu verschlüsseln, ein Passwort beim Versand von client -> server. Hier ist eine einfache ich schlage vor, Sie versuchen: RESTful Authentication

    • Danke für deine Antwort. Kann ich die hash-oder verschlüsseln Sie das Kennwort auf der client-Seite vor dem senden in der http-pipeline? anstelle von tokens? nur ein denken in mehr Szenarien. Auch ich bin der Planung, um hash das Passwort auf der server-Seite vor dem speichern in die db.
    • Auch hörte ich von Basic, Digest und andere Art von Beglaubigungen, die auf der client-Seite, für die ich bin immer mehr verwirrt. Welcher Weg ist mehr gesichert? Ich bin nicht banking Projekt zu sehr gesichert.
    • Es gibt eine Menge von Möglichkeiten, um sicheren Kennwort vor dem senden an den server. Ich fügte zu meiner Antwort.
    • Ich kann die http-Sitzung für Handy rechts? Ich gehe mit token-basierte Authentifizierung??
    InformationsquelleAutor Christian Stewart
Schreibe einen Kommentar