使用Spring DigestAuthenticationFilter,使用HTTP Digest连接到我的Spring应用程序。 该应用程序正在使用Tomcat 7。 它可以使用明文密码(在数据库中)
我的问题是:我想存储散列密码(如果可能的话,使用盐),而不是纯文本。但如果我理解得很好,HTTP Digest要求密码是纯文本。
有没有办法在Spring Security中改变它?
答案 0 :(得分:8)
我想存储哈希密码 (如果可能,加盐),而不是 纯文本。但如果我理解得很好, HTTP摘要需要密码 是明文。
有没有办法改变这一点 Spring Security?
不,这是不可改变的,至少在写这篇文章的时候。 Spring Security documentation on Digest Authentication表示以下内容,其中密码必须以明文形式显而易见。
配置的UserDetailsService是 需要因为DigestProcessingFilter 必须能直接访问clear 用户的文字密码。消化 如果你,身份验证将不起作用 正在使用编码密码 DAO。