security आप टोमकैट 5.5 में नमकीन पासवर्ड कैसे कार्यान्वित करेंगे




authentication tomcat (3)

जेसीसी में पासॉर्ड आधारित एन्क्रिप्शन पीकेएएस # 5 के अनुसार नमक का उपयोग करता है। एक उदाहरण के लिए http://java.sun.com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html#PBEEx देखें।

मेरा वेब अनुप्रयोग कंटेनर-प्रबंधित सुरक्षा पर भरोसा कर रहा है और मैं सोच रहा हूं कि क्या यह नमकीन पासवर्ड का उपयोग करना संभव है जहां तक ​​मैं यह बता सकता हूं कि बस जेडीबीसी या डाटासोर्स क्षेत्र को कॉन्फ़िगर करके डेटाबेस में पचाने वाले पासवर्ड को स्टोर करने में आसान है, लेकिन उन डाइजेस्ट में नमक जोड़ने का कोई रास्ता नहीं है।

कोई सुझाव?

संपादित करें: ऐसा लगता है मुझे सवाल पूछने से पहले कुछ और सोचने की ज़रूरत है ;-)

यह केवल चुनने का मामला है जो डायजेस्ट गणना (ग्राहक या सर्वर) कर रहा है और तदनुसार टॉमकेट को कॉन्फ़िगर करता है।


टॉमकेट 5.5 और 6.0 जेडीबीसीरहेम और डाटासोररहेम में नमकीन पासवर्ड का समर्थन नहीं करते हैं। यह एक ज्ञात बग है, और सुझाए गए पैच को ठीक काम करने लगता है, लेकिन इसे अभी तक स्वीकार नहीं किया गया था।

यदि आप पैच को लागू नहीं करना चाहते हैं, तो आप इसे कार्यान्वयन के उदाहरण के रूप में कम से कम उपयोग कर सकते हैं:

बग 45871 - डेटासास्ररेल में नमकीन और पचाने वाले पैच के लिए सहायता


यदि आप digests बनाने और भंडारण कर रहे हैं आप एक ही समय में लवण बना और संग्रहीत कर सकते हैं

आपकी ऑथेट टेबल में .... pwdDigest varchar (64), - या int256 अगर आपके पास एक हैश सॉल्ट इंट 64 है ....

फिर आपके द्वारा उपयोग किए जा रहे प्रमाणीकरण प्रोटोकॉल के आधार पर जब आप क्लाइंट साइड एन्क्रिप्शन के लिए उपयोगकर्ता नाम प्राप्त करते हैं तो आपको हैश सॉल्ट क्लाइंट को भेजते हैं या इसे स्पष्ट रूप से प्राप्त होने पर पासवर्ड को हैश करने के लिए उपयोग करें।

मैं डेटाबेस एक्सेस तकनीकों से परिचित नहीं हूं जिनके बारे में आप बात कर रहे हैं, इसलिए मुझे माफ़ी चाहिए कि अगर मैंने इस बिंदु को याद किया और उत्तर को बड़ा किया।





salt