Как бы вы реализовали соленые пароли в Tomcat 5.5

Question

Мое веб-приложение полагается на безопасность, управляемую контейнером, и мне интересно, можно ли вообще использовать соленые пароли. Насколько я могу судить, достаточно легко хранить переваренные пароли в базе данных, просто настроив JDBC или DataSource Realm, но нет никакого способа добавить соль в этот дайджест.

Любые предложения?

Edit: я, кажется, просто нужно подумать еще немного, прежде чем задавать вопросы ;-)

Это просто вопрос выбора, который делает вычисление дайджеста (клиент или сервер) и настроить Tomcat соответственно.

Answer 1

Если вы создаете и храните дайджесты, вы можете создавать и хранить соли одновременно.

Ваша авторизация таблица будет содержать .... pwdDigest VARCHAR (64), - или int256, если у вас есть один hashSalt int64, ....

Затем в зависимости от Идент протокола, который вы» Повторное использование вами либо отправляет hashSalt клиенту, когда вы получаете имя пользователя для шифрования на стороне клиента, либо используете его для хеширования пароля, если вы его получите в ясном виде.

Я не знаком с технологиями доступа к базе данных, о которых вы говорите, поэтому я прошу прощения, если я пропустил эту точку и упростил ответ.

Answer 2

Шифрование на основе паролей в JCE использует соль в соответствии с PKCS # 5. См. Пример http://java.sun.com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html#PBEEx.

Answer 3

Tomcat 5.5 и 6.0 не поддерживают соленые пароли в JDBCRealms и DataSourceRealms. Это известная ошибка, и предлагаемый патч, похоже, работает нормально, но он еще не принят.

Если вы не хотите, чтобы применить патч вы можете по крайней мере использовать его в качестве примера реализации:

Bug 45871 - Support for salted and digested patches in DataSourceRealm