在Glassfish 3.0安全领域使用bcrypt
我目前正在将Web应用程序中的密码处理从未加密的MD5更改为bcrypt。 这是一个标准的JSF应用程序,运行在Glassfish 3.0.1上。
使用jBCrypt使创建和存储哈希变得非常简单。 但是现在我不知道如何在用户登录时在实际身份验证中使用bcrypt。由于是JSF,因此使用HttpServletRequest#登录方法触发登录,其余部分由Java EE堆栈和Glassfish进行处理。
只需将安全领域摘要算法设置为“none”,然后在传递密码之前对密码进行哈希处理,则登录方法将不起作用,因为我没有在创建哈希时最初使用生成的盐jBCrypt。 我还提供了一个自定义的安全领域实现,但对于这样一个小小的改变似乎有很多工作。
有一个更简单的解决方案吗? 或者有人已经实施了类似的安全领域?
实现登录模块应该足够了,并将身份验证委托给底层领域。
链接地址: http://www.djcxy.com/p/49111.html上一篇: Using bcrypt in a Glassfish 3.0 security realm
下一篇: Making Distinctions Between Different Kinds of JSF Managed