Question

我最近将Glassfish从3.1.2更新到4.0，并希望在我的应用程序中设置一个使用基于FORM身份验证的JDBCRealm。密码在数据库中使用SHA-256进行哈希处理（这是默认的摘要算法选项）。

该领域具有在此Glassfish版本中必需的属性：密码加密算法。相当令人难以置信的是，官方的Glassfish文档说它是可选的，并且输入字段下的注释表示将它留空是一种风险，但是你不能将它留空，因为它是强制性的。

无论我在此属性中设置什么，我都无法登录之前正在运行的应用程序。（这对新注册的用户和老用户都是如此。）我谷歌搜索了好几天但是找不到这个领域的选项。有什么选择？

另外，我使用Glassfish和MySQL。 Glassfish是否将加密的散列密码发送到数据库，或者它只是MySQL的一些指令，用于存储带有这种加密的散列密码？

This question对我有所帮助，但没有解决我的问题。

更新：实际上，我没有使用经典的基于FORM的身份验证，而是使用HttpServletRequest#login()进行程序化登录的自定义JSF表单，但我不认为这个问题很重要。< / p>

Answer 1

我已经使用Glassfish 4.1和为MySQL配置的JDBC Realm测试了一个简单的用例。

您可以设置一个简单的用户表：

即。

INSERT INTO users (name, password, group) VALUES ("admin", SHA2("password", 256), "admins");

在管理控制台中，转到配置＆gt;安全＆gt;领土和编辑你的领域。

在＆＃34;密码加密算法＆＃34;字段输入＆＃34; AES＆＃34;。

在＆＃34;摘要算法＆＃34;字段输入＆＃34; SHA-256＆＃34;。

在＆＃34; Charset＆＃34;字段输入＆＃34; UTF-8＆＃34;。

Answer 2

以供参与此问题的人参考，以了解Glassfish如何使用配置＆＃34;密码加密算法＆＃34;在JDBCRealm中。我查看了代码，似乎根本没有使用它：Link，Permalink。