河南省和城乡建设厅网站,门户网站模板下载,轻松筹 做的网站价格,做国外销售都上什么网站glassfish默认密码我在该博客上最成功的文章之一是有关在GlassFish上使用基于表单的身份验证设置JDBC安全领域的文章 。 对这篇文章的一些评论使我意识到#xff0c;要真正使它安全#xff0c;应该做的还很多。 开箱即用的安全性 图片#xff1a; TheKenChan #xff08; … glassfish默认密码 我在该博客上最成功的文章之一是有关在GlassFish上使用基于表单的身份验证设置JDBC安全领域的文章 。 对这篇文章的一些评论使我意识到要真正使它安全应该做的还很多。 开箱即用的安全性 图片 TheKenChan CC BY-NC 2.0 GlassFish已经附带了GlassFish JDBC领域 。 您所要做的就是初始化数据库并正确获得安全性配置然后就可以完成。 在标准配置中您可以选择定义摘要算法包括编码和字符集。 摘要算法可以是任何JDK支持的 MessageDigestMD2MD5SHA-1SHA-256SHA-384SHA-512。 比较我的JDBC Security Realm帖子以获得完整的设置。 什么是弱项或缺失项 开箱即用的解决方案非常简单。 它只是对密码进行哈希处理。 有很多方法可以非常快速地从普通哈希中恢复密码。 破解哈希的最简单方法是尝试猜测密码对每个猜测进行哈希处理并检查猜测的哈希是否等于被破解的哈希。 如果哈希值相等则猜测为密码。 猜测密码的两种最常见方式是字典攻击和蛮力攻击。 查找表也是众所周知的。 它们是非常快速地破解许多相同类型哈希的有效方法。 总体思路是在密码字典中预先计算密码的哈希值并将它们及其对应的密码存储在查找表数据结构中。 但是我们现在还没有完成。 您还会发现称为反向查找表的内容。 这种攻击使攻击者可以同时对多个散列应用字典或蛮力攻击而无需预先计算查找表。 最后但并非最不重要的彩虹表攻击。 它们就像查找表只是它们牺牲了散列破解速度以使查找表更小。 令人印象深刻的方法列表。 显然这不能满足我个人对密码保护的需求。 加一些盐 上述方法之所以有效是因为每个密码都以完全相同的方式进行哈希处理。 每次通过安全哈希函数运行密码时都会产生完全相同的输出。 防止这种情况的一种方法是在其中添加一些盐。 在对哈希进行哈希运算之前将一个随机字符串添加或添加到密码之前可以解决此问题。 该随机字符串称为“盐”。 请注意对于所有密码重用salt并不安全。 您仍然可以使用彩虹表或字典攻击来破解它们。 因此您必须为每个密码随机分配盐并将其存储在哈希密码旁边。 每次用户更新密码时它都需要更改。 关于长度的简短句子。 盐不要太短。 对于最有效的长度其长度应与密码哈希相同。 如果使用SHA512512/8位 64字节则应选择长度至少为64个随机字节的盐。 准备工作 我们现在显然已经离开了标准的JDBCRealm功能。 这意味着我们必须实现自己的安全领域。 从现在开始我们将其称为UserRealm。 让我们从与JDBCRealm相同的设置开始。 具有“ jdbcrealmdb”架构MySQL数据库。 唯一的区别是我们准备使用每个密码来保存盐。 USE jdbcrealmdb;
CREATE TABLE jdbcrealmdb.users (
username varchar(255) NOT NULL,
salt varchar(255) NOT NULL,
password varchar(255) DEFAULT NULL,
PRIMARY KEY (username)
) ENGINEInnoDB DEFAULT CHARSETutf8;CREATE TABLE jdbcrealmdb.groups (
username varchar(255) DEFAULT NULL,
groupname varchar(255) DEFAULT NULL)
ENGINEInnoDB DEFAULT CHARSETutf8;
CREATE INDEX groups_users_FK1 ON groups(username ASC); 现在我们实现了基本领域。 以下代码仅显示了强制成员。 我将在接下来的几天中提供该资源。 直到今天这篇文章仍然可供您使用。 public class UserRealm extends AppservRealm {
/**
* Init realm from properties
*/
protected void init(Properties props)
/**
* Get JAASContext
*/
public String getJAASContext()
/**
* Get AuthType
*/
public String getAuthType()
/**
* Get DB Connection
*/
private Connection getConnection()
/**
* Close Connection
*/
private void closeConnection(Connection cn)
/**
* Close prepared statement
*/
private void closeStatement(PreparedStatement st)
/**
* Make the compiler happy.
*/
public Enumeration getGroupNames(String string)
/**
* Authenticate the user
*/
public String[] authenticate(String userId, String password)
} 但最重要的部分在这里缺失。 设置一些测试 我不是那种受测试驱动的人但在这种情况下这确实是有道理的。 因为我将在此处实现的领域不支持通过GlassFish管理控制台进行用户管理。 因此基本要求是要准备好具有所有用户密码和盐的数据库。 我们走吧。 添加sql-maven-plugin并在测试编译阶段使其创建表。 plugingroupIdorg.codehaus.mojo/groupIdartifactIdsql-maven-plugin/artifactIdversion1.3/versiondependenciesdependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactIdversion5.1.18/version/dependency/dependenciesconfigurationdriver${driver}/driverurl${url}/urlusername${username}/usernamepassword${password}/passwordskip${maven.test.skip}/skipsrcFilessrcFilesrc/test/data/drop-and-create-table.sql/srcFile/srcFiles/configurationexecutionsexecutionidcreate-table/idphasetest-compile/phasegoalsgoalexecute/goal/goals/execution/executions/plugin 您可以使用一些db-unit magic将测试数据插入数据库中也可以在测试用例中执行此操作。 我决定走这条路。 首先让我们将所有相关的JDBC内容放到一个称为SecurityStore的单独位置。 我们基本上需要三种方法。 添加一个用户为用户添加盐分并验证该用户。 private final static String ADD_USER INSERT INTO users VALUES(?,?,?);;private final static String SALT_FOR_USER SELECT salt FROM users u WHERE username ?;;private final static String VERIFY_USER SELECT username FROM users u WHERE username ? AND password ?;;
//...
public void addUser(String name, String salt, String password) {try {PreparedStatement pstm con.prepareStatement(ADD_USER);pstm.setString(1, name);pstm.setString(2, salt);pstm.setString(3, password);pstm.executeUpdate();} catch (SQLException ex) {LOGGER.log(Level.SEVERE, Create User failed!, ex);}}public String getSaltForUser(String name) {String salt null;try {PreparedStatement pstm con.prepareStatement(SALT_FOR_USER);pstm.setString(1, name);ResultSet rs pstm.executeQuery();if (rs.next()) {salt rs.getString(1);}} catch (SQLException ex) {LOGGER.log(Level.SEVERE, User not found!, ex);}return salt;}public boolean validateUser(String name, String password) {try {PreparedStatement pstm con.prepareStatement(VERIFY_USER);pstm.setString(1, name);pstm.setString(2, password);ResultSet rs pstm.executeQuery();if (rs.next()) {return true;}} catch (SQLException ex) {LOGGER.log(Level.SEVERE, User validation failed!, ex);}return false;} 为了在这里不执行太多我决定有两个单独的构造函数 public SecurityStore(String dataSource)
public SecurityStore(String user, String passwd) 因此这将与应用程序服务器和本地测试一起使用。 接下来是实际的密码和盐逻辑。 使用密码哈希和盐 这是我想出的 public class Password {private SecureRandom random;private static final String CHARSET UTF-8;private static final String ENCRYPTION_ALGORITHM SHA-512;private BASE64Decoder decoder new BASE64Decoder();private BASE64Encoder encoder new BASE64Encoder();public byte[] getSalt(int length) {random new SecureRandom();byte bytes[] new byte[length];random.nextBytes(bytes);return bytes;}public byte[] hashWithSalt(String password, byte[] salt) {byte[] hash null;try {byte[] bytesOfMessage password.getBytes(CHARSET);MessageDigest md;md MessageDigest.getInstance(ENCRYPTION_ALGORITHM);md.reset();md.update(salt);md.update(bytesOfMessage);hash md.digest();} catch (UnsupportedEncodingException | NoSuchAlgorithmException ex) {Logger.getLogger(Password.class.getName()).log(Level.SEVERE, Encoding Problem, ex);}return hash;}public String base64FromBytes(byte[] text) {return encoder.encode(text);}public byte[] bytesFrombase64(String text) {byte[] textBytes null;try {textBytes decoder.decodeBuffer(text);} catch (IOException ex) {Logger.getLogger(Password.class.getName()).log(Level.SEVERE, Encoding failed!, ex);}return textBytes;}
} 很简单对不对 老实说使用byte []可以更好地隐藏但是我认为您会更容易理解这里发生的事情。 salt方法返回配置长度的安全随机盐。 hashWithSalt方法将所有内容放入一个SHA-512哈希密码中。 关于结束码 我决定对它进行Base64编码并且正在使用专有的APIsun.misc.BASE64DecoderEncoder。 您应该在这里考虑使用Apache Commons。 但这是最简单的方法。 另一种方法是简单地对所有内容进行十六进制编码零填充。 Base64和HEX之间的区别实际上只是字节的表示方式。 十六进制是表示“ Base16”的另一种方式。 十六进制将为每个字节占用两个字符– Base64每三个字节将占用4个字符因此它比十六进制更有效。 假设您使用UTF-8编码XML文档则100K文件将需要200K进行十六进制编码而在Base64中则需要133K。 最后是UserRealm中缺少的方法 这篇冗长的文章的最后一部分是UserRealm类中的authenticate方法。 /*** Authenticates a user against GlassFish** param name The user name* param givenPwd The password to check* return String[] of the groups a user belongs to.* throws Exception*/public String[] authenticate(String name, String givenPwd) throws Exception {SecurityStore store new SecurityStore(dataSource);// attempting to read the users-saltString salt store.getSaltForUser(name);// Defaulting to a failed login by setting nullString[] result null;if (salt ! null) {Password pwd new Password();// get the byte[] from the saltbyte[] saltBytes pwd.bytesFrombase64(salt);// hash password and saltbyte[] passwordBytes pwd.hashWithSalt(givenPwd, saltBytes);// Base64 encode to StringString password pwd.base64FromBytes(passwordBytes);_logger.log(Level.FINE, PWD Generated {0}, password);// validate password with the dbif (store.validateUser(name, password)) {result[0] ValidUser;}}return result;} 这就是所有要做的事情。 如果给定用户名带有盐我们将生成一个哈希密码该密码将与数据库中的密码进行核对。 getSaltForUser也是我们对用户是否存在的隐式检查。 使密码破解更加困难哈希函数慢 如果安全性不增加更多则不会被称为安全性。 因此加盐的密码比简单的散列密码要好得多但可能仍然不够因为它们仍然允许对任何单个散列进行暴力破解或字典攻击。 但是您可以添加更多保护。 关键字是key-stretching 。 也称为慢散列函数。 这里的想法是使计算速度足够慢从而不再允许CPU / GPU驱动的攻击。 它使用特殊的CPU密集型哈希函数实现。 PBKDF2 基于密码的密钥派生功能2就是其中之一。 您可以以不同的方式使用它但只能警告一个切勿自己尝试这样做。 使用像的测试并提供实现方式的一个PBKDF2WithHmacSHA1从JDK或PKCS5S2ParametersGenerator从BouncyCastle的库。 一个示例可能如下所示 public byte[] hashWithSlowsalt(String password, byte[] salt) {SecretKeyFactory factory;Key key null;try {factory SecretKeyFactory.getInstance(PBKDF2WithHmacSHA1);KeySpec keyspec new PBEKeySpec(password.toCharArray(), salt, 1000, 512);key factory.generateSecret(keyspec);} catch (NoSuchAlgorithmException | InvalidKeySpecException ex) {Logger.getLogger(Password.class.getName()).log(Level.SEVERE, null, ex);}return key.getEncoded();} 为什么要这样 我们听说密码和用户数据库泄漏很多。 每天。 一些大型站点受到了攻击而实现者为其用户提供适当的安全性基本上取决于实施者。 坦白地说使用提供的功能很难知道在哪里进行调整以及如何进行调整从而使您感到不舒服。 不要停止学习安全功能并时刻注意可能出现的问题。 我个人希望GlassFish为用户提供一套更全面的默认领域。 但是只要不是这种情况我的博客就是引导您朝正确方向发展的唯一途径。 希望您喜欢它 参考来自JCG合作伙伴 Markus Eisele在MySQL 企业软件开发博客上MySQL上带有咸密码的GlassFish JDBC安全性 。 翻译自: https://www.javacodegeeks.com/2012/07/glassfish-jdbc-security-with-salted.htmlglassfish默认密码
