我的目标是以安全的方式使用 JDBC/Hibernate 对数据库进行身份验证,而不是以纯文本形式存储密码。代码示例表示赞赏。我已经在使用 waffle 对用户进行身份验证,所以如果有某种方法可以使用 waffle 从用户那里获得的凭据,并将这些凭据转发给数据库,那就太好了。
两个问题:
- 使用 tomcat/hibernate/spring 在 web 服务器、sql 数据库和显然是客户端浏览器上进行多跳身份验证(客户端、web 服务器和数据库都是不同的机器)的推荐方法是什么?
- 我还会选择一种使用单个用户帐户进行身份验证的方法,只要该用户帐户的信息没有以纯文本形式存储在任何地方。用户帐户将需要对数据库的读/写权限。
我找到了一些有关连接到 SQL Server 的有用信息 in this thread .但是,我希望 Tomcat 将在默认帐户下运行,例如本地系统或其他帐户。据我所知,该帐户不能用于对数据库进行 Windows 身份验证。
我的解决方案:
我确实最终使用了上述线程中提到的方法。 Tomcat 服务不再作为本地系统运行,而是作为用户运行。该用户有权访问数据库。我的hibernate配置文件配置如下:
<property name="hibernate.connection.url">
jdbc:sqlserver://system:port;databaseName=myDb;integratedSecurity=true;
</property>
致那些提供回复的人
感谢大家的帮助,我将尝试线程中提到的一些技术。我对某些响应的问题是它们需要需要 key 的对称加密。将 key 保密几乎与以明文形式存储密码完全相同。
最佳答案
我最近blogged about this :
您可以告诉 tomcat 的 jdbcrealm 对密码使用摘要算法,例如 sha-256并保存哈希而不是明文密码。
假设您的用户实体如下所示:
@Entity
@Table(name = "cr_users")
public class UserDetails{
@Id
@GeneratedValue
private long id;
private String name;
private String passwordHash;
@ManyToMany
private Set<Group> groups;
}
通过服务创建新用户时,可以使用 MessageDigest 创建密码哈希:
public UserDetails createNewUser(String username,String passwd,Set<Group> groups){
UserDetails u=new UserDetails();
u.setname(username);
u.setGroups(groups);
u.setPassword(createHash(passwd));
return u;
}
public String createHash(String data){
MessageDigest digest = MessageDigest.getInstance("SHA-256");
digest.update(password.getBytes());
byte byteData[] = digest.digest();
//convert bytes to hex chars
StringBuffer sb = new StringBuffer();
for (int i = 0; i < byteData.length; i++) {
sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16).substring(1));
}
return sb.toString();
}
由于 SHA-256 总是会为相同的输入产生相同的散列值,您可以告诉 tomcat 的 JDBCRealm 使用此算法来验证密码。
<Realm className="org.apache.catalina.realm.JDBCRealm"
driverName="org.postgresql.Driver"
connectionURL="jdbc:postgresql://localhost:5432/mydb"
connectionName="myuser" connectionPassword="mypass"
userTable="tc_realm_users" userNameCol="username" userCredCol="passwordhash"
userRoleTable="tc_realm_groups" roleNameCol="groupname"
digest="sha-256"/>
问题是 tomcat 会期望 usertable 有这样一种不同的格式:
+----------------------+ +-------------------+
| tc_realm_users | | tc_realm_groups |
+----------------------+ +-------------------+
| username varchar | | username varchar |
| passwordhash varchar | | groupname varchar |
+----------------------+ +-------------------+
如果您的用户数据模型适合您,那么您很幸运,但我的 Hibernate 生成的表看起来像这样:
+----------------------+ +-------------------+ +--------------------+
| cr_users | | cr_groups | | cr_users_cr_groups |
+----------------------+ +-------------------+ +--------------------+
| id long | | id long | | cr_users_id long |
| name varchar | | name varchar | | groups_id long |
| passwordhash varchar | +-------------------+ +--------------------+
+----------------------+
所以我创建了一个 View使用具有预期格式的 SQL 并从我的 webapps 用户数据中提取数据:
create view tc_realm_groups as
select
cr_users.name as username,
groups.name as groupname
from cr_users
left join (
select
cr_users_cr_groups.cr_users_id,cr_groups.name
from cr_groups
left join
cr_users_cr_groups
on cr_users_cr_groups.groups_id=cr_groups.id
) as groups on groups.cr_users_id=id;
create view tc_realm_users as
select
name as username
from cr_users;
有了那个 tomcat 就能够对我现有的用户数据进行身份验证/授权,并将数据写入上下文中,这样我就可以在我的 Jersey (JSR-311) 中使用它了。资源:
public Response getEvent(@Context SecurityContext sc,@PathParam("id") long id) {
log.debug("auth: " + sc.getAuthenticationScheme());
log.debug("user: " + sc.getUserPrincipal().getName()); // the username!
log.debug("admin-privileges: " + sc.isUserInRole("webapp-admin"));
return Response.ok(“auth success”).build();
}
还有一些其他的 Realm 实现:
- JDBC领域
- 数据源领域
- JNDI领域
- 用户数据库领域
- 内存领域
- JAAS 领域
- 联合领域
- LockOutRealm
一些链接:
关于java - 没有以纯文本形式存储密码的 Hibernate 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5747136/