meilleure stratégie pour l'enregistrement des utilisateurs et de connexion pour une application web

Question

Je vous écris une application web (servlet/JSP sur tomcat) et je voulais savoir les meilleures pratiques/expériences pour la gestion des utilisateurs (logins et enregistrement)

Je suis plus insterested dans

conception base de données

problèmes de sécurité (comment stocker le mot de passe sur le serveur et comment envoyer le mot de passe du Cline tover https) erreurs courantes

etc

Merci --Jat

Answer 1

Lorsque l'utilisateur crée son mot de passe, vous souhaitez créer un hachage de ce mot de passe (avec un peu de sel) et stocker le hachage.

Vous ne devriez pas pouvoir récupérer le mot de passe à envoyer à l'utilisateur. Vous devriez seulement pouvoir vérifier l'entrée d'un utilisateur contre le hachage stocké.

Si un utilisateur oublie son mot de passe, vous pouvez lui fournir un lien pour réinitialiser son mot de passe, mais il est déconseillé d'envoyer son mot de passe à l'utilisateur.