如何在 Tomcat 5.5 中实现加盐密码

Question

我的 Web 应用程序依赖于容器管理的安全性，我想知道是否可以使用加盐密码。 据我所知，通过配置 JDBC 或 DataSource Realm 将摘要密码存储在数据库中非常容易，但无法向这些摘要添加盐。

有什么建议么？

编辑：看来我只需要在提问之前再考虑一下；-)

这只是选择谁来进行摘要计算（客户端或服务器）并相应地配置 Tomcat 的问题。

Answer 1

如果您要创建并存储摘要，则可以同时创建和存储盐。

您的 auth 表将包含
....
pwdDigest varchar(64), -- 或 int256（如果有的话）
hashSalt int64,
....

然后，根据您使用的身份验证协议，您可以在获取客户端加密的用户名时将 hashSalt 发送到客户端，或者如果您收到明文密码，则使用它来哈希密码。

我不熟悉你所谈论的数据库访问技术，所以如果我错过了要点并且过于简化了答案，我深表歉意。

Answer 2

Tomcat 5.5 和 6.0 不支持 JDBCRealms 和 DataSourceRealms 中的加盐密码。 这是一个已知的错误，建议的补丁似乎工作正常，但尚未被接受。

如果您不想应用补丁，您至少可以将其用作实现示例：

错误 45871 - 支持 DataSourceRealm 中的加盐和消化补丁

Answer 3

JCE 中基于密码的加密根据 PKCS#5 使用盐。 请参阅 http://java.sun .com/j2se/1.4.2/docs/guide/security/jce/JCERefGuide.html#PBEEx 为例。