[nbj2ee] Secure Web Service and Tomcat JDBC Realm

  • From: "duncant" < >
  • To:
  • Subject: [nbj2ee] Secure Web Service and Tomcat JDBC Realm
  • Date: Wed, 18 Apr 2012 15:01:07 +0000

Depends very much on exactly what you are doing.  

When you say "a secure web service" that could mean different things.  The 
most likely scenario is that you are passing HTML forms-based 
username/password credentials to your server over an SSL/TLS connection with 
HTTPS.  And when you say you are authenticating users against a MySQL 
database I'm guessing that means you have usernames and passwords stored in 
the database.  Is that it?

As a general principle, passwords should not be stored in a database in 
cleartext form.  So MySQL database may well be designed to store a hash of 
the password, not the actual password.  If that's the case, then yes, you 
should hash the password before sending it.  That can be done in the client 
or in the server.  But it's possible to implement this in many different 
ways.  You need to check how your application is designed and implemented on 
the server side, and then make sure your client is consistent.

If you google "dot net forms authentication" you'll find a microsoft tutorial 
here: 
http://support.microsoft.com/kb/301240

Looking at that code, you'll see they give an example which stores the 
passwords in the database in the clear.  Then way down at the end they show 
how that can be changed to store a hash of the password.  So, it can be done 
either way.  Take a quick look at the contents of your databases - you should 
be able to quickly tell if you are looking at hashes or at actual passwords.  

By the way, the microsoft example code looks to me to be vulnerable to SQL 
injection attacks - I'd be careful about using that code in a production 
environment.

Hope that helps!






[nbj2ee] Secure Web Service and Tomcat JDBC Realm

agolia 04/17/2012

[nbj2ee] Secure Web Service and Tomcat JDBC Realm

duncant 04/18/2012

Project Features

About this Project

www was started in November 2009, is owned by jpirek, and has 21 members.
By use of this website, you agree to the NetBeans Policies and Terms of Use (revision 20131025.e7cbc9d). © 2013, Oracle Corporation and/or its affiliates. Sponsored by Oracle logo
 
 
Close
loading
Please Confirm
Close