本周特色：身份验证

使用最新版本2.0.11我们将BibSonomy的身份验证迁移到Spring Security公司。在这篇文章中，我们想为您提供一些详细信息和背景信息。

记住我

在上一个版本之前，您总是在成功登录后从BibSonomy获得cookie。此cookie包含您的（散列）密码和用户名，并允许您保持登录一年。这显然与安全相关，因为当您忘记在共享计算机上注销时，用户可以使用您的BibSonomy帐户，甚至可以复制该cookie。然后，用户可以无限期地使用它（实际上，直到您更改了密码）或运行密码攻击以获取您的纯文本密码。

此cookie现在是可选的-您可以使用BibSonomy而无需获取此cookies（参见。这个帖子)。此外，cookie现在已经加密，并且包含一个不可修改的到期日期，即一年。这意味着密码破解现在要复杂得多，cookie总是在一年后过期。您可以在中找到更多信息弹簧安全手册.

上登录页面现在，您可以通过（取消）激活保持登录状态复选框：

我们建议您在使用共享计算机（例如，在网吧中）时不要激活该复选框。此外，当您使用此类计算机时，应始终注销。

请注意，通过使用快速增长在BibSonomy页面的右上角（请参阅下一个屏幕截图），您总是会得到一组remember me cookie。

打开ID

虽然BibSonomy支持打开ID的身份验证很长时间了，底层实现相当有缺陷。现在，我们正在构建Spring Security的实现，该实现已经在许多生产环境中进行了测试。此外，我们简化了OpenID的注册过程。实际上，如果您第一次使用OpenID登录，您必须填写一个表单，仅此而已http://schema.openid.net/，表单的某些部分已经由您提供给OpenID提供商的用户详细信息填写。

LDAP公司。

对于PUMA项目（参见。这个帖子)基于BibSonomy技术，我们正在使用Spring Security的LDAP实现将PUMA集成到大学图书馆的用户管理中。

对于其他设置，我们现在已经准备好了-我们可以轻松集成X.509或CAS身份验证，因为Spring Security提供了开箱即用的支持。通过实现相应的接口，可以以标准化的方式添加其他机制。