Glassfish 安全 - jdbcRealm:如何使用 SHA-256 摘要配置登录

Posted

技术标签:

【中文标题】Glassfish 安全 - jdbcRealm:如何使用 SHA-256 摘要配置登录【英文标题】:Glassfish Security - jdbcRealm: How to configure login with SHA-256 digest 【发布时间】:2011-03-27 13:09:33 【问题描述】:

我在 glassfish v3.0.1 b22 中使用 jdbcRealm 来保证安全性。它被设置为使用我数据库中的 USER 表进行身份验证,方法是关注此博客:http://blogs.oracle.com/foo/entry/mort_learns_jdbc_realm_authentication。如果我将摘要算法保留为纯文本,我可以正常工作。但是,当我尝试将 SHA-256 用于摘要算法时,它停止工作。 我所做的是在 Glassfish - Security - Realm - jdbcRealm - 摘要中指定我想要 SHA-256(我只是在摘要字段中输入 SHA-256)。然后我编写了一个简单的 Java 程序来将密码文本转换为 SHA-256 哈希。然后,我将该哈希粘贴到数据库中的密码字段中。顺便说一句,密码字段是 varchar(30) 类型。我不能再登录了。我注意到一件事,我的简单 Java 程序每次为同一个文本字段生成不同的哈希值。

下面是我的简单java程序:

        MessageDigest md = MessageDigest.getInstance("SHA-256");
        String text = "admin";
        md.update(text.getBytes("UTF-8"));
        byte[] digest = md.digest();
        System.out.println(digest.toString());

【问题讨论】:

我在从 4.0 迁移到 4.1.1 时遇到问题 ***.com/questions/40686737/… 【参考方案1】:

jdbcRealm 允许对 hex 或 base64 值进行编码。您需要在领域配置和代码中指定其中之一,将字节数组转换为以下格式之一:

Base64:

import com.sun.org.apache.xml.internal.security.utils.Base64;
...
byte[] digest = md.digest();
System.out.println(Base64.encode(digest));

十六进制:

...
byte[] digest = md.digest();
StringBuffer sb = new StringBuffer();
for (int i = 0; i < digest.length; i++) 
    String hex = Integer.toHexString(0xff & digest[i]);
    if (hex.length() == 1) sb.append('0');
    sb.append(hex);

System.out.println(sb.toString());

顺便说一句,密码字段类型为 varchar(30)

您需要增加密码字段的大小。 SHA-256 base64 和 hex 值的长度分别为 45 和 64 个字符。

【讨论】:

超级!!!你是救生员。我研究这件事已经有一段时间了。非常感谢。糟透了,我只能给你 1 票。 我在从 4.0 迁移到 4.1.1 时遇到问题 ***.com/questions/40686737/…

以上是关于Glassfish 安全 - jdbcRealm:如何使用 SHA-256 摘要配置登录的主要内容,如果未能解决你的问题,请参考以下文章

Glassfish 认为 jdbcRealm 实际上是 fileRealm

Glassfish 4 中的密码加密算法

shiro框架学习-4- Shiro内置JdbcRealm

带有 JavaConfig 和 Spring Boot 的 Apache Shiro JdbcRealm

Shiro Spring JDBCRealm 身份验证和授权

在 Glassfish 3.0 安全领域中使用 bcrypt