use password4j to generate and check hashes

[thoniTUB]

Don't use PBKDF2 anymore

[awildturtok]

Sieht im ganzen gut aus. Finde etwas Spooky, dass wir jetzt doch Strings statt char[] benutzen. Die password4j ist sehr etabliert, oder warum der umstieg?

[awildturtok]

Best Practice ist hier idR auch IncorrectCredentials oä zu werfen um zu verhindern, dass Leute für deinen Account fishen können.

[thoniTUB]

Guter Punkt, passe ich an :)

[thoniTUB]

Ich bleibe bei den Exceptions explizit im Realm, aber fange und konvertiere sie zu einer generellen NotAuthorizedException die ein 401er aus lösen bevor sie zum User kommen.

[awildturtok]

ich verstehe nicht was die methode macht

[thoniTUB]

Ich habe eine doku ergänzt und einen Test dazu geschrieben.

Du gibst der methode einen hash und sie gibt dir die HashingFunction zurück, mit der sie erstellt wurde.

[thoniTUB]

Sieht im ganzen gut aus. Finde etwas Spooky, dass wir jetzt doch Strings statt char[] benutzen. Die password4j ist sehr etabliert, oder warum der umstieg?

Ich habe mich umgeschaut. Ich habe mich zu der lib entschieden, weil sie einfach zu bedienen ist und die akuellen Algorithmen unterstützt. die Alternative wäre z.B. die Spring Security Lib zu importieren, aber das ist ein overkill oder für die einzelnen Algorithmen einzelne Libs zu importieren.
Shiro hat auch Crypto Support, aber sehr veraltet