将散列或加密的密码发送到AS400 jdbc连接
...
database.driverClassName=com.ibm.as400.access.AS400JDBCDriver
database.url=jdbc:as400:<host>:naming=sql;libraries=*LIBL,...;transaction isolation=none
database.username=<user>
database.password=<password>
database.initialPoolSize=2
database.maxPoolSize=5
...
我有一个要求,存储一个散列密码,而不是直接的密码,这样,如果有人看文件内容不能知道什么是真正的密码。
像这样使用sha:
...
database.password=5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
...
必须有一种方法告诉AS400正在发送的密码是散列的。
在我的研究中,我发现AS400使用库QSYS中的索引QSYUPTBL存储密码,库QSYS能够使用DES或SHA散列算法。因此它将加密接收到的密码,并将得到的哈希值与索引中存储的哈希值进行比较。但是有没有可能告诉DB的身份验证过程期待密码被散列并直接进行比较呢?
新发现:
IBM的文档提到了一个关键字:RMTAUTMTH来设置远程身份验证方法,使用该参数中的*encrypted值将激活用户id和密码中的加密:
所以它似乎可以在AS400端进行配置,但没有提到正在使用的加密算法以及jdbc驱动程序是否支持它。
共有1个答案
IBM Toolbox中没有提到Java JDBC属性接受特殊散列/加密密码的属性。
您必须在应用程序中管理密码的散列/加密,并将其作为明文提供给JDBC连接。
假设启用了SSL,JDBC连接的secure属性可用于强制到AS/400的SSL连接,以确保应用程序和数据库之间的所有数据都被加密。
-
我正在使用以下代码创建哈希密码和salt: 我正在数据库中存储HashedPassword和Salt。 现在我要验证用户登录时的密码: 这不起作用,我得到了一个完全不同的哈希密码,而不是存储在数据库中的密码。据我所知,您应该在用户登录时输入的密码之前预置salt,然后运行相同的哈希密码函数。上面不是等价于那个吗?
-
我有一个简单的密码加密程序,当用户注册时,它会给我一个散列/盐析密码,以存储在我的数据库中。代码: 当用户登录时,我想我不能简单地通过此代码将输入的密码放回并进行比较,因为这会给我一个不同的结果。如何简单地将存储的密码与输入的登录密码进行比较?
-
我正在处理一个pet项目,现在我想添加用户注册支持。经过一些研究,我决定在数据库中保存哈希密码和salt,而不是原始密码。然而,我不知道这些步骤是什么,顺序是什么。以下是我的假设: 注册 客户端向服务器发送用户名和密码(https) 服务器获取密码,生成随机salt Base64对盐进行编码 用stringify salt散列密码 Base64对密码进行编码 将密码和salt保存到数据库中 登录
-
虽然我理解加盐和散列密码过程背后的神学,但我不太理解方法论。据我所知,这个问题及其相关答案中列出的方法,以及MSDN的这篇文章,都经历了创建不同长度的salt的步骤,以便在散列给定密码的过程中使用。 但是,稍后检查密码怎么样?据我所知,再次创建哈希将导致生成全新的盐,最终导致在尝试登录时验证失败。 我是否错过了盐或盐配方的保存位置?还是我不太了解这个过程?
-
我一直在阅读OWASP10,我遇到了存储信息的最佳实践。咸杂碎。在这里,您为每个密码生成一个随机的salt,并对其进行梳理、散列和存储。我的疑问是,如果salt是随机生成的,当用户键入密码时,如何对密码进行身份验证?salt是否与用户名一起保存?如果是这样,这种做法仍然是脆弱的。或者他们是怎么做到的?
-
我正在尝试将用户从旧的Drupal6 CMS迁移到KeyCloak。我想迁移用户与他们的旧密码,然后分配一个“更新密码”要求的行动到他们的个人资料。 然而,迁移密码似乎有问题,因为我只能以散列形式访问它们。 null 有没有人有幸让这个功能发挥作用?