我最近将Glassfish从3.1.2更新到4.0,并希望在我的应用程序中设置一个使用基于FORM身份验证的JDBCRealm。密码在数据库中使用SHA-256进行哈希处理(这是默认的摘要算法选项)。
该领域具有在此Glassfish版本中必需的属性:密码加密算法。相当令人难以置信的是,官方的Glassfish文档说它是可选的,并且输入字段下的注释表示将它留空是一种风险,但是你不能将它留空,因为它是强制性的。
无论我在此属性中设置什么,我都无法登录之前正在运行的应用程序。 (这对新注册的用户和老用户都是如此。)我谷歌搜索了好几天但是找不到这个领域的选项。有什么选择?
另外,我使用Glassfish和MySQL。 Glassfish是否将加密的散列密码发送到数据库,或者它只是MySQL的一些指令,用于存储带有这种加密的散列密码?
This question对我有所帮助,但没有解决我的问题。
更新:实际上,我没有使用经典的基于FORM的身份验证,而是使用HttpServletRequest#login()进行程序化登录的自定义JSF表单,但我不认为这个问题很重要。< / p>
答案 0 :(得分:5)
我已经使用Glassfish 4.1和为MySQL配置的JDBC Realm测试了一个简单的用例。
您可以设置一个简单的用户表:
即。
INSERT INTO users (name, password, group) VALUES ("admin", SHA2("password", 256), "admins");
在管理控制台中,转到配置&gt;安全&gt;领土和编辑你的领域。
在&#34;密码加密算法&#34;字段输入&#34; AES&#34;。
在&#34;摘要算法&#34;字段输入&#34; SHA-256&#34;。
在&#34; Charset&#34;字段输入&#34; UTF-8&#34;。
答案 1 :(得分:-1)