كيف يمكنك تنفيذ المملح كلمات السر في هر 5.5
https://stackoverflow.com/questions/205153
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
بلدي التطبيق على شبكة الإنترنت هو الاعتماد على الحاويات التي تديرها الأمن و أنا أتساءل إذا كان من الممكن استخدام المملح كلمات السر في كل شيء.بقدر ما أستطيع أن أقول أنه من السهل بما يكفي لتخزين هضمها كلمات السر في قاعدة البيانات فقط عن طريق تكوين JDBC أو DataSource عالم ولكن لا يوجد طريقة إضافة الملح إلى تلك الهضم.
أي اقتراحات ؟
تحرير: يبدو أنا فقط بحاجة إلى بعض أكثر قبل طرح الأسئلة ;-)
انها مجرد مسألة اختيار من يقوم خلاصة الحساب (العميل أو الخادم) و تكوين هر وفقا لذلك.
المحلول
إذا كنت تقوم بإنشاء وتخزين هضم يمكنك إنشاء وتخزين الأملاح في نفس الوقت.
الخاص بك مصادقة الجدول سيحتوي على ....pwdDigest varchar(64) ، - أو int256 إذا كان لديك واحدة hashSalt int64, ....
ثم اعتمادا على مصادقة بروتوكول كنت تستخدم إما وإرسال hashSalt إلى العميل عند الحصول على اسم المستخدم التشفير العميل أو استخدام تجزئة كلمة المرور إذا كنت تحصل عليه في واضحة.
أنا لم تكن مألوفة مع الوصول إلى قاعدة بيانات التقنيات تتحدث لذا أعتذر إذا كنت قد غاب نقطة و التبسيط الجواب.
نصائح أخرى
هر 5.5 و 6.0 لا تدعم المملح كلمات السر في JDBCRealms و DataSourceRealms.انها علة معروفة ، اقترح التصحيح يبدو للعمل بشكل جيد, ولكن لم تكن مقبولة حتى الآن.
إذا كنت لا ترغب في تطبيق التصحيح على الأقل يمكنك استخدامه بمثابة تنفيذ سبيل المثال:
Passord القائمة على التشفير في لجنة التعليم المشتركة يستخدم الملح حسب PKCS#5.انظر http://java.sun.com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html#PBEEx على سبيل المثال.
