/ / Bezpečnosť na jar: kódovanie heslom a kódovanie štandardov, heslá

Zabezpečenie na jar: kódovanie heslom a kódovanie štandardov, heslá

Povedz, že som hash heslá s StandardPasswordEncoder, ktorý používa SHA-256 a 8bit náhodné znaky ako soľ a uložiť ho do db (napr. Pre registračný formulár).

A potom to skontrolujem 

<security:password-encoder hash="sha-256" >
</security:password-encoder> (for login form)

Známe to najnovšie, že prvý kód bol takým spôsobom, že soľ je 8 bajtov náhodne generovanej soli? A aj keď vie, ako sa zistí, akú soľ sa použije na získanie toho istého hash?

Alebo možno som úplne mimo trať a SHA-256 štandard už predpokladá, že by mala byť striktne vytvorená 8-bitová soľ vnútri pre hašovanie?

Vďaka,

odpovede:

1 pre odpoveď č. 1

Vyriešil to, nebudem ísť do detailov, ale lepšie použije org.springframework.security.authentication.encoding.ShaPasswordEncoder,

 <bean id ="passwordEncoder" class="org.springframework.security.authentication.encoding.ShaPasswordEncoder" >
<constructor-arg value="256"/>
<property name="iterations" value="1024"/>
</bean>

a odkazujte na toto bôby z vášho bezpečnostného kontextu: 

         <security:password-encoder ref="passwordEncoder">
<security:salt-source user-property="username"/>
</security:password-encoder>

Súvisiace otázky

Ako Spring encodePassword so soľou - pružina, jarná bezpečnosť, md5, soľ
Jarné orgány skupiny, ako aktivovať s predvoleným dotazom - jar, prihlásenie, jar-zabezpečenia
Password hašovanie s jarným zabezpečením - jar, jar-bezpečnosť, soľ, bcrypt
Ako získať poverenia autorizácie používateľa v kóde s jarným zabezpečením? - jar, autentifikácia, jarná bezpečnosť, surovosť
Zabezpečenie na jar 3.1 autentifikácia LDAP s md5 - pružina, jarná bezpečnosť, pružina-ldap
Jarná bezpečnosť 3 RestTemplate POST to j_spring_security_check - jar, odpočinok, jar-bezpečnosť, resttemplate
Jarné bezpečnostné automatické prihlásenie po registrácii - jarná bezpečnosť, autológ
Jarná bezpečnosť 4 Vlastné autentifikácia jdbc - spring-mvc, spring-security, spring-jdbc
používa sha1 () so zabezpečenou soľou? - PHP, bezpečnosť, hash, sha1, ochrana heslom
Jarná bezpečnosť: Vytvorte používateľov - java, spring, spring-mvc, spring-security
Konfigurácia hesiel pomocou XML - java, xml, spring, xml-parsing, hesla
Kodér XML alebo Binárny kódovač? - Eclipse Milo (klient-server) - java, zatmenie, opc, opc-ua, milo
Ako aplikovať jarnú bezpečnosť na struts2 - java, hibernate, struts2, spring-security, struts2-s2hibernate
Ktoré heslo je kodér pre Spring Security DaoAuthenticationProvider: MD5 alebo SHA-256? - java, jar, heslá, jarná bezpečnosť, ochrana heslom
Jarná bezpečnosť a UserDetailsService - java, jar, jarná bezpečnosť
Aký je najlepší spôsob podpory prefixu "ROLE_" pre jarné zabezpečenie? - java, spring-security, legacy-app
Odosielanie užívateľského mena + šifrovaného hesla na službu RESTful - javascript, rest, spring-mvc, jarná bezpečnosť, šifrovanie heslom
Integrácia autentifikácie jarného zabezpečenia 3 s anotáciou Hibernate 3 (JPA) - hibernácia, jarná bezpečnosť
Grails Spring Security Core - manuálne generovanie hesla - grails, spring-security, grails-2.0, grails-plugin
admin prihlásenie v produkčnom prostredí - broadleaf-commerce