JBoss salted DatabaseServerLoginModule на AS 7.1

Question

Я пытаюсь настроить безопасный вход для своего приложения.
Чтобы достичь этого, я хотел солить свой хэш и, возможно, использовать счетчик итераций. official forums, похоже, не отвечают на это, поэтому мне было интересно, как заставить это работать, если я хочу придерживаться своей стратегии безопасности. В качестве альтернативы я мог бы просто оставить соление, но я не думаю, что это будет хорошей идеей.
Так что мой вопрос:
Есть ли способы обхода решения для такого безопасного хранения здесь или что лучше всего подходит для регистрации логинов на JBoss AS в настоящее время?

Answer 1

Почти год прошел, и при рассмотрении этого раздела кода я наконец-то нашел (может быть, не приличный, но работает) решение:
Не позволяйте DatabaseLoginModule хэш паролей, хэш и соли их самостоятельно.
В моем приложении я использую механизмы входа, предоставляемые Servlet 3.0: HttpServletRequest.login(userLogin, pass);
Ключевой момент я пропустил, что вы можете хэширования и посолить простой пароль вручную непосредственно перед login() -Call. Затем LoginModule будет соответствовать хэшам с сохраненными в базе данных.
Возможно, это не то решение, которое я изначально хотел, но он не добавляет лишней сложности.