问题:
Tomcat 9 Realm 是否<CredentialHandler>需要正确的算法参数来散列密码并通过密码验证用户?
无论我通过 PBKDF2WithHmacSHA512 算法传递什么参数,我的 webapp 似乎都能够对用户进行身份验证,即使<CredentialHandler>元素上的属性不同或没有任何属性也是如此。
这是 Tomcat 领域的预期行为吗?如果是这样,这怎么可能?Realm 是否能够从散列的组成中推断出参数?
背景:
Tomcat 9 通过基于 Java 的SecretKeyFactory算法的领域提供容器管理的安全性。
我正在使用 PBKDF2WithHmacSHA512,它有以下选项:
- 迭代
- 密钥长度
- 盐长
我的 webapp 中定义的 CredentialHandlercontext.xml是
<CredentialHandler
className="org.apache.catalina.realm.SecretKeyCredentialHandler"
algorithm="PBKDF2WithHmacSHA512"
iterations="100000"
keyLength="256"
saltLength="16">
</CredentialHandler>
Tomcat 安装提供了对散列算法的 CLI 访问CATALINA_HOME/bin/digest.[bat|sh]。(有关更多详细信息,请参阅Tomcat 9 领域配置操作指南。)
无论我将选项传递给 CLI 散列算法,Tomcat 都能够从 DataSource Realm(MySQL 数据库)正确验证用户。密码可以通过以下两种方式成功验证:
示例 #1 匹配<CredentialHandler>:
$ $CATALINA_HOME/bin/digest.sh -a PBKDF2WithHmacSHA512 -i 100000 -s
16 -k 256 -h org.apache.catalina.realm.SecretKeyCredentialHandler passw0rd
passw0rd:d0c315b015272b531b0a82cec220d4a1$100000$7ac32ed573fe81e75f611a46622573515
ad11d731dcae4839973ae2702774c51
示例 #2 不同的参数:
$ $CATALINA_HOME/bin/digest.sh -a PBKDF2WithHmacSHA512 -i 100 -s 1 -k 128
-h org.apache.catalina.realm.SecretKeyCredentialHandler passw0rd
passw0rd:47$100$0e4790b617fa24ee324d55bed38ad4b0