0

我介绍了 Web 应用程序的 Spring 安全性。首先,我的身份验证管理器如下。

<authentication-manager>
    <authentication-provider>
        <password-encoder hash='md5'>
        </password-encoder> 
        <jdbc-user-service data-source-ref="dataSource"/>
    </authentication-provider>
</authentication-manager>

为了进行测试,我将使用“1”作为用户名和密码。我使用在线 md5 哈希生成器,我得到了 md5(1) 的“c4ca4238a0b923820dcc509a6f75849b”。使用此配置登录可以正常工作。我想尝试盐,我修改身份验证管理器如下。

<authentication-manager>
    <authentication-provider>
        <password-encoder hash='md5'>
            <salt-source user-property="username"/>
        </password-encoder> 
        <jdbc-user-service data-source-ref="dataSource"/>
    </authentication-provider>
</authentication-manager>

所以当我在网上读到盐的使用方式就像散列(盐+密码)一样。所以使用相同的工具我散列'11'然后得到散列值'6512bd43d9caa6e02c990b0a82652dca'。我用该值更新数据库。但是现在登录失败并抛出错误“原因:凭据错误”。这意味着密码与数据库不匹配。所以我的问题是,这是否意味着 Spring 使用不同的盐腌方式?

4

2 回答 2

2

既然使用的是spring security,那么可以考虑使用PasswordEncoderbean。

<beans:bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.ShaPasswordEncoder">
</beans:bean>

您的身份验证管理器将类似于(更改代码):

<authentication-manager>
    <authentication-provider>
        <password-encoder ref="passwordEncoder">
            <salt-source user-property="username"/>
        <password-encoder/>
        <jdbc-user-service data-source-ref="dataSource"/>
    </authentication-provider>
 </authentication-manager>

访问Spring Security Custom Authentication and Password Encoding & Spring Security:password encoding in DB and in applicationContext了解更多信息。

于 2013-03-12T17:49:20.413 回答
0

该死的反正春天腌制方法是不同的。用户按照 Java 代码使用盐计算哈希。

public static void main(String[] args) {
    Md5PasswordEncoder md5 = new Md5PasswordEncoder();
    String hash = md5.encodePassword("1", "1");
    System.out.println(hash);
}

我得到了“6a8a1f634e38d30e87b450899b31f810”作为加密密码(不同的权利??)。然后我将它插入数据库并尝试我的应用程序登录。沃拉!!!登录成功。

于 2013-03-12T17:34:34.423 回答