我最近将Glassfish从3.1.2更新到4.0,并想在我的应用程序上使用基于表单的身份验证之前设置一个JDBCRealm。密码在数据库中使用SHA-256散列(这是默认的摘要算法选项)。
领域有一个属性在这个Glassfish版本中是必须的:Password Encryption Algorithm。令人难以置信的是,官方Glassfish文档说它是可选的,输入字段下的注释说将其保留为空是有风险的,但是你不能将其保留为空,因为它是强制性的。
无论我在这个属性中设置什么,我都无法登录之前工作的应用程序。(新注册用户和老用户都是如此。)我在谷歌上搜索了好几天,但找不到这个领域的选项。有哪些选择?
另外,我正在使用MySQL的Glassfish。Glassfish发送的哈希密码加密到DB或只是一些指令MySQL存储哈希密码与这种加密?
这个问题对我有点帮助,但并没有解决我的问题。
更新:实际上,我不使用经典的基于表单的身份验证,而是使用HttpServletRequest#login()的自定义JSF表单编程登录,但我不认为这在这个问题上很重要。
我用Glassfish 4.1和一个为MySQL配置的JDBC Realm测试了一个简单的用例。
您可以设置一个简单的用户表:
- name:存储用户名
- password:存储用户的SHA-256哈希值密码(不加盐)
- group:存储用户组(即admin, user)
。
INSERT INTO users (name, password, group) VALUES ("admin", SHA2("password", 256), "admins");
在管理控制台中,转到配置>安全>领域并编辑您的领域。
在"密码加密算法"一栏输入"AES"。
在"摘要算法"字段中输入"SHA-256"。
在"Charset"字段中输入"UTF-8"。