我的 Web 应用程序依赖于容器管理的安全性,我想知道是否可以使用加盐密码。据我所知,通过配置 JDBC 或 DataSource Realm 将摘要密码存储在数据库中非常容易,但无法向这些摘要添加盐。
有什么建议吗?
编辑:看来我只需要在提问之前再考虑一下;-)
只需选择由谁进行摘要计算(客户端或服务器)并相应地配置 Tomcat 即可。
最佳答案
如果您要创建并存储摘要,则可以同时创建和存储盐。
您的身份验证表将包含 .... pwdDigest varchar(64), -- 或 int256(如果有的话) hashSalt int64, ....
然后,根据您使用的身份验证协议(protocol),您可以在获取用于客户端加密的用户名时将 hashSalt 发送到客户端,也可以在收到明文密码时使用它对密码进行哈希处理。
我不熟悉您所谈论的数据库访问技术,因此,如果我没有捕获要点并且过于简化了答案,我深表歉意。
关于security - 如何在 Tomcat 5.5 中实现加盐密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/205153/