<div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">Hi all</div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<br></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">I'm just trying to get started with ESAPI. I'm using 2.0m. I'm working on an AJAX app and don't know much about security, so rather than try to roll something quick and dirty, I thought I'd try to use this. I've set up a WebFilter to make sure users are logged in for all requests. The login request is a POST. Subsequent requests are a mixture of GET (static files eg Javascript & CSS) and POST (all my AJAX calls are POST). I hit upon a few issues while setting this up:</div>

<div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><br></div><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">AbstractAuthenticator has references to DefaultUser throughout - should these be pointing to the User interface?</span><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

AbstractAuthenticator.login() validates that all requests are POST requests, even if the user is already logged in and the retrieved from the session: is this the intended behaviour?</div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

<br></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">I've more-or-less just duplicated the FileBasedAuthenticator, and I replaced the AbstractAuthenticator with my own implementation updated with the changes above as a quick-and-dirty hack to get it working. My plan from here is to migrate away from the FileBaseAuthenticator to my own authenticator backed by the DB as I have time...</div>

<div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><br></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

Does anyone have any hints/tips about the two questions above, or anything else?</div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><br></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

Regards</div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><br></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">

Daniel</div>