Login con JSP, cifrar password en tomcat-users.xml

Cehdhe · #1 (**permalink**) 21/08/2011, 16:16

Utilizo el archivo web.xml de Tomcat para poder autentificar la entrada a mi Web (Usuario y password), este archivo esta en la carpeta WEB-INF, funciona perfectamente.

El problema es que en el archivo conf\tomcat-users.xml, donde se especifica el password, ese mismo password esta en texto plano. ¿Hay alguna manera de cifrar los passwords?

Como se ve mi archivo tomcat-users.xml:

Código XML:

Ver original<role rolename="EsteRole"/>
<user username="UserLuis" password="luis123" roles="EsteRole"/>

Utilizo Apache-tomcat 6.0.24 en Windows Xp.
Como se implemento:
[URL="http://www.forosdelweb.com/f19/archivo-htpasswd-tomcat-931675/"]Login de usuario en Tomcat utilizando tomcat-users.xml[/URL]

Ronruby · #2 (**permalink**) 21/08/2011, 16:51

Ese archivo no puede ser accedido por los visitantes de la web, ¿que es lo que te preocupa?

Cehdhe · #3 (**permalink**) 21/08/2011, 19:01

Una vez terminado el Web, sera levantado en un servidor del cliente, El administrador de dicho servidor todavia no lo conozco, y por cuestiones de seguridad quiero cifrar los passwords. Si yo fuera el administrador del Servidor, estaria más tranquilo.

Xerelo · #4 (**permalink**) 22/08/2011, 03:53

Sinceramente, yo no me preocuparía.

Si desconfías del administrador estás jodido, porque es la persona que tendrá acceso a todo y sin que puedas evitarlo.

hkadejo · #5 (**permalink**) 22/08/2011, 09:07

Me parecen validos los motivos para encriptar los passwords, asi que haciendo una pequeña busqueda por aqui y por alla encontre esto:

http://www.java-samples.com/showtutorial.php?tutorialid=618

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#Digested_Passwords

http://stackoverflow.com/questions/129160/how-to-avoid-storing-passwords-in-the-clear-for-tomcats-server-xml-resource-defi

Espero te ayude.