我正在使用 Tomcat 进行 HTTP 基本身份验证,一切正常。我只是想知道我是否可以稍微改进一下。
是否可以创建一个没有用户名的 tomcat 用户?
<tomcat-users>
<role rolename="admin"/>
<user username="admin1" password="adminpassword1" roles="admin"/>
<user password="someApiKey" roles="admin"/>
</tomcat-users>
我只想通过发送一个 API key 来启用身份验证,这样就不再需要用户名了。但是当我尝试 curl (-u someApiKey:)
时,我收到消息“此请求需要 HTTP 身份验证”。
有没有更好的方法来存储密码? XML 文件中的纯文本对我来说似乎不安全。在数据库中,我总是使用散列和盐。
最佳答案
使用 tomcat/bin/digest.sh 创建一个加密密码,您可以将其包含在 tomcat-users.xml 中。
关于tomcat - 为基本身份验证创建没有用户名和加密密码的 Tomcat 用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22786662/