有 Java 编程相关的问题?

你可以在下面搜索框中键入要查询的问题!

java如何在JBoss6中使用md5哈希进行JAAS WebAuthentication?

编写JavaEE6应用程序时,我需要一些使用带有md5哈希的DatabaseServerLoginModule的帮助

设置:

登录配置。xml:

 <application-policy name = "app">
      <authentication>
      <login-module code = "org.jboss.security.auth.spi.DatabaseServerLoginModule" flag = "required">
        <module-option name = "dsJndiName">java:/MySQLDS</module-option>
        <module-option name = "principalsQuery">Select password from user where email_current=?</module-option>
        <module-option name="rolesQuery">
            SELECT r.name, 'Roles' FROM role r, user_2_role ur, user u WHERE
            u.email_current=? AND u.id_user=ur.id_user AND ur.id_role=r.id_role
        </module-option> 
        <module-option name ="hashAlgorithm">md5</module-option>
        <module-option name="hashEncoding">base64</module-option>
        <module-option name="ignorePasswordCase">false</module-option>
        <module-option name="hashStorePassword">false</module-option>
        <module-option name="hashUserPassword">true</module-option>
     </login-module>
     <!-- login-module code="org.jboss.security.ClientLoginModule" flag="required" /-->
     </authentication>
 </application-policy>

网络。xml:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Customer Content</web-resource-name>
        <url-pattern>/customer/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>AuthorizedUser</role-name>
        <role-name>customer</role-name>
    </auth-constraint>
    <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>DIGEST</auth-method>
    <realm-name>The Restricted Zone</realm-name>
    <form-login-config>
        <form-login-page>/login.html</form-login-page>
        <form-error-page>/login.html</form-error-page>
    </form-login-config>
</login-config>
<security-role>
    <description>The role required to access restricted content </description>
    <role-name>customer</role-name>
</security-role>

登录实现(重要部分):

// login
WebAuthentication pwl = new WebAuthentication();
if (pwl.login(aEmail, aPassword)) {
    return "customer/dashboard?faces-redirect=true";
} else {
    throw new IncorrectCredentialsException();
}

我使用以下实现存储密码:

final byte[] md5Hash = DigestUtils.md5(newPassword);
md5NewPassword = Hex.encodeHexString(md5Hash);

我使用一些来自internet的md5生成器(如http://www.miraclesalad.com/webtools/md5.php)检查写入数据库的值

他们写的都一样

使用完全不使用md5散列的OnAuthentication方法,并且使用form而不是digest配置的方法是可行的。有什么想法吗

提前谢谢


共 (4) 个答案

  1. # 2 楼答案

    nogamawa,SHA算法的用途类似于MD5,它是单向加密,即没有办法解密消息。SHA2被证明更强大。Java加密扩展(JCE)支持这两种算法。 --基兰。库马尔

  2. # 3 楼答案

    除了MD5和SHA2(这是一个好主意)之外,在每个密码中添加随机生成的salt实际上更重要。建议每个密码至少有128位随机生成的salt。这可以防止彩虹表攻击(一种预先计算的密码散列形式)

    您还应该多次迭代哈希算法,并将每个哈希的结果提供给它。散列算法设计得很快,这意味着攻击者只需一台廉价的个人计算机和图形卡,就可以每秒计算数百万或数十亿个散列。建议对哈希算法进行25000次以上的迭代,将输出返回到输入中。在现代CPU上,这只需不到一秒钟的时间。如果你这样做,破解密码在计算上就困难多了

  3. # 4 楼答案

    md5哈希现在被认为是不安全的。它在很多方面都被破坏了

    更好地使用SHA