在Tomcat上運行的Web應用程序的登錄頁面

Question

我正在創建簡單的Web應用程序。有一些公共數據和管理數據。 管理員在使用私人數據執行某些操作時正在登錄。

Web應用程序服務器：Tomcat。

數據庫服務器：MySQL。

問題是做登錄驗證的最佳做法。

我應該：

一）登錄與使用可能的tomcat -users.xml中像web.xml中/的context.xml，一些XML文件中使用？在這種情況下，我認爲Tomcat管理員可以輕鬆管理（添加/刪除/更改傳遞）用戶。

b）像用戶一樣使用MySQL數據庫表。但是，它由數據庫管理員管理。把用戶/密碼放在一些數據庫中也行嗎？也許應該加密。

也許還有其他方法。

限制是如果需要一些軟件，這必須是一個免費軟件。

在此先感謝。

Answer 1

第二個選擇是要走的路。當然你需要將密碼存儲在數據庫中。當用戶登錄時，對他輸入的密碼進行散列並將其與從數據庫中檢索的（已散列的）密碼進行比較，以便知道他提供的密碼是否正確。

您可以通過添加權限列表來跟蹤用戶表中的權限。添加列'添加'，'刪除'，'ChangePassword'，...並將它們設置爲0或1以知道相應的用戶是否具有執行操作的權限。