JavaEE Glassfish身份验证:电子邮件中的确认链接，无需登录密码

Question

我正在使用GlassFish的身份验证机制开发一个JavaEE 7应用程序。我的问题是:当点击链接时，我们无法访问用户密码(明文)，这在某种程度上是正确的。或者我们必须修改我们的安全领域( JDBC领域的修改版本)？

“忘记密码”机制有完全相同的要求。

Answer 1

以下是我对你特别提出的问题的建议：

1. 编写servlet的自定义登录模块或自定义域(云修改现有模块)并仅将其映射到确认URL。
2. 在servlet中，提取URL的相关部分。
3. 调用HttpServletRequest#login()，将URL的相关部分作为重定向并享受！

请注意，领域应该能够区分“正常”登录和来自链接servlet的登录。您可以使用UUID或基于空密码来执行此操作。

然而，确认链接通常不是指注册过程中的最后一步吗?在该步骤中，您可能会修改底层数据源以激活用户并禁止进一步访问该链接。

在这种情况下，您的servlet可能应该使用EJB、JPA或其他任何东西直接修改数据源，告诉用户他们的帐户已经启用，并将他们发送到登录表单。