3

Spring 3 を使用しており、MySQL データベースからユーザーを取得しています。

現在、テストでは、MD5 パスワードを持つユーザーがいます。そして、それを使用して問題なく認証できます。

ただし、パスワードをハッシュする方法については、もう少し安全にしたいと考えています。私たちはしたい:

MD5(username + salt + password)

ソルトは、ユーザー レコードに格納されるランダムな文字列です。しかし、どこで/どのようにこれを行うのかわかりません。これは私がこれまでに持っているものです:

ユーザーダオ

public class UserDao {

    public static Users findUserByUsername(String paUsername) {
        String hql = "from Users where username = :username";

        List<Users> list = null;
        Users user = null;

        try {
            IO io = new IO("web");   // custom Hibernate framework
            IOQuery query = new IOQuery();
            query.setStatement(hql);
            query.setParameter(new IOParameter("username", paUsername));

            list = io.runQuery(query);

            if (list.isEmpty()) {
                return null;
            }

            return list.get(0);

        } catch (Exception ex) {
            return null;
        }
    }
}

UserDetailsS​​erviceImpl

@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String paUsername) throws UsernameNotFoundException {
        Users user = userDao.findUserByUsername(paUsername);

        if(user == null) {
            throw new UsernameNotFoundException("User not found");
        }

        return new User(
                user.getUsername(),
                user.getPassword(),
                user.getEnabled(),
                true,
                true,
                true,
                getAuthorities(Enums.UserRoles.IT));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(Enums.UserRoles paRole) {
        List<GrantedAuthority> authList = getGrantedAuthorities(getRoles(paRole));
        return authList;
    }

    private List<String> getRoles(Enums.UserRoles paRole) {
        List<String> roles = new ArrayList<>();

        if (paRole.equals(Enums.UserRoles.USER)) {
            roles.add(Enums.UserRoles.USER.name());
        } else if (paRole.equals(Enums.UserRoles.IT)) {
            roles.add(Enums.UserRoles.USER.name());
            roles.add(Enums.UserRoles.IT.name());
        }

        return roles;
    }

    private static List<GrantedAuthority> getGrantedAuthorities(List<String> paRoles) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (String role : paRoles) {
            authorities.add(new SimpleGrantedAuthority(role));
        }
        return authorities;
    }
}

ユーザー詳細サービス

public class UserDetailService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new UserDetailsServiceImpl().loadUserByUsername(username);        
    }
}

セキュリティ アプリ コンテキスト

<beans:bean id="loginSuccessHandler" class="com.myapp.security.LoginSuccessHandler" />
<beans:bean id="loginFailureHandler" class="com.myapp.security.LoginFailureHandler" />
<beans:bean id="detailsService" class="com.myapp.security.UserDetailService" />

私が何をする必要があるかについてのアイデアはありますか?

ありがとう

4

2 に答える 2

1

これは、アプリがパスワード エンコーディングを設定するために使用するセキュリティ構成の一部です。

<sec:authentication-manager alias="authenticationManager">
    <sec:authentication-provider ref="authenticationProvider" />
</sec:authentication-manager>


<bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <property name="userDetailsService" ref="userDetailsServiceImpl"/>
    <property name="passwordEncoder" ref="cryptoPasswordEncoder" />
</bean>


<bean id="cryptoPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

BCryptPasswordEncoderは独自のものを使用するため、DaoAuthenticationProviderに Salt ソースを設定する必要はありません。

于 2012-06-08T15:25:15.290 に答える
0

使用する :

public class PasswordEncoder extends org.springframework.security.authentication.encoding.MessageDigestPasswordEncoder{             

    public PasswordEncoder() {
        super("MD5");
    }

    @Override
    public String encodePassword(String originalPassword, Object salt) {
            // here supply salt = username + saltString
        String encryptedPassword =  super.encodePassword(originalPassword, salt);           
        return encryptedPassword;
    }

}
于 2012-06-08T15:27:28.007 に答える