我的Web应用程序依赖于容器管理的安全性,我想知道是否有可能完全使用咸密码。据我所知,仅通过配置JDBC或DataSource Realm就很容易将摘要密码存储在数据库中,但是没有办法在摘要中添加盐。
有什么建议么?
编辑: 似乎我只需要再问一些问题;-)
只需选择由谁来进行摘要计算(客户端或服务器)并相应地配置Tomcat即可。
如果要创建和存储摘要,则可以同时创建和存储盐。
您的身份验证表将包含.... pwdDigest varchar(64),或者-如果您有一个hashSalt int64,…,则为int256。
然后根据您使用的身份验证协议,在您获得用于客户端加密的用户名时,将hashSalt发送给客户端,或者如果您收到明文密码,则使用它来哈希密码。
我不熟悉您所谈论的数据库访问技术,因此,如果我错过了要点并简化了答案,我深表歉意。
