java - 没有以纯文本形式存储密码的 Hibernate 身份验证-6ren

java - 没有以纯文本形式存储密码的 Hibernate 身份验证

转载作者：太空狗更新时间：2023-10-29 22:50:16

我的目标是以安全的方式使用 JDBC/Hibernate 对数据库进行身份验证，而不是以纯文本形式存储密码。代码示例表示赞赏。我已经在使用 waffle 对用户进行身份验证，所以如果有某种方法可以使用 waffle 从用户那里获得的凭据，并将这些凭据转发给数据库，那就太好了。

两个问题:

使用 tomcat/hibernate/spring 在 web 服务器、sql 数据库和显然是客户端浏览器上进行多跳身份验证(客户端、web 服务器和数据库都是不同的机器)的推荐方法是什么？
我还会选择一种使用单个用户帐户进行身份验证的方法，只要该用户帐户的信息没有以纯文本形式存储在任何地方。用户帐户将需要对数据库的读/写权限。

我找到了一些有关连接到 SQL Server 的有用信息 in this thread .但是，我希望 Tomcat 将在默认帐户下运行，例如本地系统或其他帐户。据我所知，该帐户不能用于对数据库进行 Windows 身份验证。

我的解决方案:

我确实最终使用了上述线程中提到的方法。 Tomcat 服务不再作为本地系统运行，而是作为用户运行。该用户有权访问数据库。我的hibernate配置文件配置如下:

    <property name="hibernate.connection.url">
jdbc:sqlserver://system:port;databaseName=myDb;integratedSecurity=true;
</property>

致那些提供回复的人

感谢大家的帮助，我将尝试线程中提到的一些技术。我对某些响应的问题是它们需要需要 key 的对称加密。将 key 保密几乎与以明文形式存储密码完全相同。

最佳答案

我最近blogged about this :

您可以告诉 tomcat 的 jdbcrealm 对密码使用摘要算法，例如 sha-256并保存哈希而不是明文密码。

假设您的用户实体如下所示:

@Entity
@Table(name = "cr_users")
public class UserDetails{
    @Id
    @GeneratedValue
    private long id;
    private String name;
    private String passwordHash;
    @ManyToMany
    private Set<Group> groups;
}

通过服务创建新用户时，可以使用 MessageDigest 创建密码哈希:

public UserDetails createNewUser(String username,String passwd,Set<Group> groups){
       UserDetails u=new UserDetails();
       u.setname(username);
       u.setGroups(groups);
       u.setPassword(createHash(passwd));
       return u;
}
public String createHash(String data){
        MessageDigest digest = MessageDigest.getInstance("SHA-256");
        digest.update(password.getBytes());
        byte byteData[] = digest.digest();
        //convert bytes to hex chars
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < byteData.length; i++) {
         sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16).substring(1));
        }
        return sb.toString();
}

由于 SHA-256 总是会为相同的输入产生相同的散列值，您可以告诉 tomcat 的 JDBCRealm 使用此算法来验证密码。

<Realm className="org.apache.catalina.realm.JDBCRealm"
       driverName="org.postgresql.Driver"
       connectionURL="jdbc:postgresql://localhost:5432/mydb"
       connectionName="myuser" connectionPassword="mypass"
       userTable="tc_realm_users" userNameCol="username" userCredCol="passwordhash" 
       userRoleTable="tc_realm_groups" roleNameCol="groupname"
       digest="sha-256"/>

问题是 tomcat 会期望 usertable 有这样一种不同的格式:

+----------------------+  +-------------------+
|   tc_realm_users     |  | tc_realm_groups   |
+----------------------+  +-------------------+
| username     varchar |  | username  varchar |
| passwordhash varchar |  | groupname varchar |
+----------------------+  +-------------------+

如果您的用户数据模型适合您，那么您很幸运，但我的 Hibernate 生成的表看起来像这样:

+----------------------+  +-------------------+  +--------------------+
|     cr_users         |  |      cr_groups    |  | cr_users_cr_groups |
+----------------------+  +-------------------+  +--------------------+
| id              long |  | id           long |  | cr_users_id   long |
| name         varchar |  | name      varchar |  | groups_id     long |
| passwordhash varchar |  +-------------------+  +--------------------+
+----------------------+

所以我创建了一个 View使用具有预期格式的 SQL 并从我的 webapps 用户数据中提取数据:

create view tc_realm_groups as
select 
  cr_users.name as username,
  groups.name as groupname
from cr_users 
left join (
        select 
                cr_users_cr_groups.cr_users_id,cr_groups.name 
        from cr_groups 
        left join 
                cr_users_cr_groups 
                on cr_users_cr_groups.groups_id=cr_groups.id
) as groups on groups.cr_users_id=id;

create view tc_realm_users as
select 
  name as username
from cr_users;

有了那个 tomcat 就能够对我现有的用户数据进行身份验证/授权，并将数据写入上下文中，这样我就可以在我的 Jersey (JSR-311) 中使用它了。资源:

public Response getEvent(@Context SecurityContext sc,@PathParam("id") long id) {
                log.debug("auth: " + sc.getAuthenticationScheme());
                log.debug("user: " + sc.getUserPrincipal().getName()); // the username!
                log.debug("admin-privileges: " + sc.isUserInRole("webapp-admin"));
                return Response.ok(“auth success”).build();
        }

还有一些其他的 Realm 实现:

JDBC领域
数据源领域
JNDI领域
用户数据库领域
内存领域
JAAS 领域
联合领域
LockOutRealm

一些链接:

关于java - 没有以纯文本形式存储密码的 Hibernate 身份验证，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/5747136/

文章推荐： java - Java 中的对象与引用

文章推荐： java - 如何在 hibernate 中使用条件对列表进行排序

文章推荐： java - 在方法签名中有一个最终输入参数是什么意思？

文章推荐： java - Eclipse 调试 : Source Not Found while remote debugging

django - unicorn 没 react
我正在使用 Gunicorn 为 Django 应用程序提供服务，它工作正常，直到我将其超时时间从 30 秒更改为 900000 秒，我不得不这样做，因为我有一个用例需要上传和处理一个巨大的文件(过程
docker - 没 Root过的Jenkins docker代理管道
我有一个带有非常基本的管道的Jenkinsfile，它可以旋转docker容器: pipeline { agent { dockerfile { args '-u root' } } stag
javascript - Passport 没 react ？
在学习 MEAN 堆栈的过程中，我遇到了一个问题。每当我尝试使用 Passport 验证方法时，它都不会返回任何响应。我总是收到“localhost没有发送任何数据。ERR_EMPTY_RESPONS
12个数据库安全故障和错误，看看你“踩雷”没?
在当今的大多数企业堆栈中，数据库是我们存储所有秘密的地方。它是安全屋，是待命室，也是用于存储可能非常私密或极具价值的物品的集散地。对于依赖它的数据库管理员、程序员和DevOps团队来说，保护它免受所
html - CSS 边框 - 没 Angular 框
是否可以创建像图片上那样的边框？只需使用 css 边框属性。最终结果将是没 Angular 盒子。我不想添加额外的 html 元素。我只想为每个 li 元素添加 css 边框信息。假设这是一个 ul

太空狗

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - 没有以纯文本形式存储密码的 Hibernate 身份验证