Sikkerhet - Scrum-m8s/MinVakt GitHub Wiki

Autentisering av brukere gjøres gjennom Java Authentication and Authorization Service, som er implementert i MinvaktLoginModule-klassen.

Passord blir hashet med salt. Salt genereres med SecureRandom, og hash-algoritmen som brukes er PBKDF2 med HmacSHA512. Den genererte hashen blir slått sammen med salt til en hexadesimal string, og lagres sammen med brukernavn og tilgangsnivå i databasen.

Tilgangsnivå er todelt, enten er man ansatt eller administrator. Disse brukerrollene avgjør hvilke rest ressurser man har tilgang til, som definert i web.xml.

For å forhindre SQL injeksjon, brukes det prepared statementer med parametere i databasetilgangslaget.