<font face="sans-serif" size="2">Nicholas,<br><br>I have been contemplating many changes to the Authenticator classes.  I&#39;d like to extract more functionality out of the FileBasedAuthenticator reference implementation and I could see making the methods you mentioned accessible outside of the Authenticator interface as well.  I&#39;m not sure if it would be desirable to add a new ESAPI interface, but that would be my first inclination.<br>
<br>The password strength check could use some additional rules, there are two open issues on that subject.  It very well might make sense to devote an entire class to the task. None of this is going to make the 2.0 release though,  but hopefully not far after.<br>
<br><br>Brent Shikoski<br><br></font><br><div class="gmail_quote">On Tue, Apr 20, 2010 at 10:19 AM,  <span dir="ltr">&lt;<a href="mailto:NChoate@fruit.com">NChoate@fruit.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<br><font face="sans-serif" size="2">All,</font><font size="3"> <br>
</font><font face="sans-serif" size="2"><br>
I&#39;m considering using ESAPI for my Java web application, however I have
some questions/concerns.</font><font size="3"> <br>
</font><font face="sans-serif" size="2"><br>
I was looking at the Authenticator class for Java and noticed methods for
&quot;verifyPasswordStrength&quot; and &quot;generateStrongPassword&quot;.
 I would like to use both methods to augment our existing portal architecture
which does not support (or at least is not obvious to me) password strength
checking other than requiring passwords of a configurable length.  As
the portal handles the authentication for our application, I wasn&#39;t keen
on trying to map the internal portal SDK to the Authenticator Interface,
just to get support for password strength validation.  I may be alone
in my thinking, but shouldn&#39;t these stand-alone methods be moved to a separate
concrete class with static implementations of the methods.  Or at
minimum another interface, AuthenticatorUtil for instance, that has these
methods and can be overridden to provide a custom implementation or the
base reference implementation can be used.  </font><font size="3"> <br>
</font><font face="sans-serif" size="2"><br>
I&#39;d be happy to hear an alternative proposal to what I suggested, as I&#39;m
a new to ESAPI or even an alternative way to doing what I&#39;ve suggested.</font><font size="3">
</font>
<br>
<br><font face="sans-serif" size="2">Nicholas Choate</font>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">**********************************************************************</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">This communication contains information which is confidential and</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">may also be privileged. It is for the exclusive use of the intended</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">recipient(s). If you are not the intended recipient(s), please note</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">that any distribution, copying or use of this communication or the</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">information in it is strictly prohibited. If you have received this</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">communication in error, please notify the sender immediately and</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">then destroy any copies of it.</span></p>
<p><span style="font-family: &#39;MS Sans Serif&#39;; font-size: 8.2pt;">**********************************************************************</span></p>
<br>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br>