你将如何在Tomcat 5.5中实现咸味密码

我的Web应用程序依赖于容器管理的安全性，我想知道是否可以使用咸味密码。 据我所知，仅通过配置JDBC或DataSource Realm就足够简单，可以将消解的密码存储在数据库中，但无法向这些摘要添加盐。

有什么建议么？

编辑：看来我只需要在提问之前多思考一下;-)

这只是选择谁在进行摘要计算（客户端或服务器）并相应地配置Tomcat的问题。

---

如果您正在创建和存储摘要，则可以同时创建和存储盐。

你的验证表将包含.... pwdDigest varchar（64）， - 或int256如果你有一个hashSalt int64，....

然后根据您使用的身份验证协议，您可以在获取用于客户端加密的用户名时将hashSalt发送到客户端，或者如果您清楚地收到它，则使用它来散列密码。

我对您所谈论的数据库访问技术并不熟悉，所以我很抱歉，如果我错过了这个观点并且过于简单化了答案。

---

Tomcat 5.5和6.0不支持JDBCRealms和DataSourceRealms中的密码。 这是一个已知的错误，并且建议的补丁似乎工作正常，但尚未被接受。

如果您不想应用该修补程序，则至少可以将其用作实施示例：

Bug 45871 - 支持DataSourceRealm中的盐渍和消解补丁

---

JCE中基于Passord的加密按照PKCS＃5使用salt。 例如，请参阅http://java.sun.com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html#PBEEx。

链接地址: http://www.djcxy.com/p/21529.html

上一篇: How would you implement salted passwords in Tomcat 5.5

下一篇: Secure methods of storing keys, passwords for asp.net