10

我在 glassfish v3.0.1 b22 中使用 jdbcRealm 来保证安全。它被设置为使用我的数据库中的 USER 表通过以下博客进行身份验证:http: //blogs.oracle.com/foo/entry/mort_learns_jdbc_realm_authentication. 如果我将摘要算法保留为纯文本,我可以正常工作。但是,当我尝试将 SHA-256 用于摘要算法时,它停止工作。我所做的是在 Glassfish - Security - Realm - jdbcRealm - 摘要中指定我想要 SHA-256(我只是在摘要字段中输入 SHA-256)。然后我编写了一个简单的 Java 程序来将密码文本转换为 SHA-256 哈希。然后,我将该哈希粘贴到数据库中的密码字段中。顺便说一句,密码字段是类型 varchar(30)。我不能再登录了。我注意到我的简单 Java 程序每次为同一个文本字段生成不同的哈希值的一件事。

下面是我的简单java程序:

        MessageDigest md = MessageDigest.getInstance("SHA-256");
        String text = "admin";
        md.update(text.getBytes("UTF-8"));
        byte[] digest = md.digest();
        System.out.println(digest.toString());
4

1 回答 1

17

jdbcRealm 允许对 hex 或 base64 值进行编码。您需要在领域配置和代码中指定其中之一,将字节数组转换为以下格式之一:

Base64:

import com.sun.org.apache.xml.internal.security.utils.Base64;
...
byte[] digest = md.digest();
System.out.println(Base64.encode(digest));

十六进制:

...
byte[] digest = md.digest();
StringBuffer sb = new StringBuffer();
for (int i = 0; i < digest.length; i++) {
    String hex = Integer.toHexString(0xff & digest[i]);
    if (hex.length() == 1) sb.append('0');
    sb.append(hex);
}
System.out.println(sb.toString());

顺便说一句,密码字段是类型 varchar(30)

您需要增加密码字段的大小。SHA-256 base64 和十六进制值的长度分别为 45 和 64 个字符。

于 2010-08-10T17:56:52.090 回答