アプリケーションに安全なログインを設定しようとしています。
これを達成するために、ハッシュをソルトし、おそらく反復回数を使用したいと考えました。公式フォーラムはそれに答えていないようなので、セキュリティ戦略に固執したい場合、これを機能させる方法を考えていました. または、塩漬けのままにしておくこともできますが、これは良い考えではないと思います.
私の質問は、
ここでそのような安全なストレージを実現するための回避策はありますか、または最近の JBoss AS でログインを処理するためのベストプラクティスは何ですか?
質問する
320 次
1 に答える
0
ほぼ1年が経過し、このコードセクションを見直したときに、最終的に(まともではないかもしれませんが、機能する)解決策を見つけました:パスワードをハッシュ
させず、自分でハッシュしてソルトします。DatabaseLoginModule
私のアプリケーションでは、サーブレット 3.0 が提供するログイン メカニズムを使用しています。
私が見逃した重要な点は、 -callHttpServletRequest.login(userLogin, pass);
の直前にプレーン パスワードを手動でハッシュおよびソルトできることです。login()
次にLoginModule
、ハッシュをデータベースに保存されているものと照合します。
おそらくそれは私が最初に望んでいた解決策ではないかもしれませんが、不必要な複雑さを追加することはありません.
于 2014-04-22T18:22:17.590 に答える