1
私は現在、Webアプリケーションのパスワード処理を無制限のMD5からbcryptに変更中です。 GlassFish 3.0.1で動作する標準のJSFアプリケーションです。
jBCryptを使用すると、ハッシュを簡単に作成して保存することができました。しかし、今では、ユーザーがログインするときに実際の認証でbcryptを使用する方法がわかりません.JSFなので、ログインはHttpServletRequest#loginメソッドを使用してトリガーされ、残りはJava EEスタックとGlassfishによって処理されます。
Glassfish 3.0セキュリティレルムでbcryptを使用
セキュリティレルムのダイジェストアルゴリズムを "none"に設定してから、ログインメソッドを渡す前にパスワードをハッシュするだけで、ハッシュを作成するときに元々使用されていたjBCryptが生成されません。 カスタムセキュリティレルムの実装についても説明しましたが、そのような小さな変更には多くの作業が必要です。
もっと簡単なソリューションはありますか?または、誰かが既に同様のセキュリティ分野を実装していますか?
これはまだ興味がありますか?私は私の現在のプロジェクトのために少しカスタム領域を構築しました。あなたが私に知らせてくれたら、私はそれをきれいにして、いくつかの書類と共にギブスに載せます。 –
@ChadWilson、私はあなたがこれに対して何をしたのか興味を持っています。 – TofuBeer
速いFYI:最後に、Glassfishのダイジェストアルゴリズムを "none"に設定し、アプリケーションでハッシングを実装しました。残念ながら、私はbcryptを使用することができませんでした(必要な変更に十分な時間がありません)。その代わりに、アプリケーションでは、固定されたsaltで始まり、その後のすべての繰り返しで最後のハッシュをsaltとして使用して、複数の反復で低速ハッシングアルゴリズムを使用するようになりました。最高の解決策ではありませんが、それでも合理的に安全です。 – Johannes