GWT/GWT-Ext 中密码字符串的 md5 哈希值？

Question

我目前正在尝试修改现有的 GWT-Ext 应用程序，该应用程序在其 MySql 数据库中使用纯文本密码。

我的计划是使用 md5 哈希值，因为可以使用 MySql 函数轻松更改现有密码，并且我希望为 GWT-Ext 端找到一个简单的解决方案。 但据我发现，GWT 不支持 java.security，并且似乎没有任何其他实现可用于将密码字符串更改为客户端的 md5 哈希值。

到目前为止，我找到的唯一“解决方案”是通过 JSNI 重新实现 md5 方法，如下所述： http://groups.google.com/group/Google- Web-Toolkit/browse_thread/thread/ad09475a9944c9f8

Ext-JS 有一个现有的用户扩展，但我找不到 GWT-Ext 的任何内容： http://extjs.com/forum/showthread.php?p=133516

有人知道解决这个问题的更优雅/简单的方法吗？ 也许我应该使用其他东西而不是 md5 来确保密码被加密？

干杯 坦率

Answer 1

您需要 gwt-crypto。 它包括许多标准的加密内容。

Answer 2

就我个人而言，我会说你这样做是错误的。 我不会在客户端对密码进行哈希处理（这就是 GWT）。 如果您对密码进行哈希处理，那么您无疑需要对其进行加盐，否则您将容易受到 rainbow 的影响 攻击。 如果您在客户端对它进行哈希+加盐，则您的用户将可以访问您的盐。

如果我是你，我会在服务器端对你的密码进行哈希+盐处理。 这将允许您使用标准 Java 代码来执行 MD5 哈希。

我的2分钱。

-J.P

Answer 3

另一个可能满足您需求的想法是所谓的零知识身份验证。 （即服务器永远不需要知道用户的纯文本密码。）

基本上，在设置初始密码时，客户端会对用户密码进行 N 次哈希处理（其中 N 是一个较大的数字，如 1000），然后将最终哈希发送到服务器存储哈希值和 N。

稍后，当用户想要进行身份验证时，服务器告诉客户端 N-1，客户端对用户输入 N-1 次的密码进行哈希处理，然后将其发送到服务器服务器。 服务器对收到的哈希值再执行 1 次哈希操作，并（希望）获得存储的哈希值。 然后服务器存储 N-1 哈希值和 N-1 数字。

每次用户进行身份验证时，服务器都会减少存储的 N 并保存之前的哈希值。

当N减至0时，用户必须选择并设置新密码。

服务器必须确保它永远不会请求相同的迭代，否则很容易受到重放的影响。 您无法真正从客户端强制执行该条件，因为客户端（尤其是浏览器）无法可靠地跟踪最后 N。

Answer 4

您永远不应该使用 md5 或其他哈希函数进行密码加密。 请参阅http://codahale.com/how-to-safely-store-a -密码/

Answer 5

您可以使用 gwt-crypto 生成 SHA-1 在客户端使用以下哈希值：

String getSHA1for(String text) {
  SHA1Digest sd = new SHA1Digest();
  byte[] bs = text.getBytes();
  sd.update(bs, 0, bs.length);
  byte[] result = new byte[20];
  sd.doFinal(result, 0);
  return byteArrayToHexString(result);
}

String byteArrayToHexString(final byte[] b) {
  final StringBuffer sb = new StringBuffer(b.length * 2);
  for (int i = 0, len = b.length; i < len; i++) {
    int v = b[i] & 0xff;
    if (v < 16) sb.append('0');
    sb.append(Integer.toHexString(v));
  }
  return sb.toString();
}