我在我的 glassfish v3.0.1 b22 中使用 jdbcRealm 来确保安全。它被设置为使用我的数据库中的 USER 表通过以下博客进行身份验证:http://blogs.oracle.com/foo/entry/mort_learns_jdbc_realm_authentication .如果我将摘要算法保留为纯文本，我可以正常工作。但是，当我尝试将 SHA-256 用于摘要算法时，它停止工作。 我所做的是在 Glassfish - Security - Realm - jdbcRealm - digest 中指定我想要 SHA-256(我只是在 digest 字段中键入 SHA-256)。然后我编写了一个简单的 Java 程序将密码文本转换为 SHA-256 哈希。然后我将该散列粘贴到数据库中我的密码字段中。顺便说一句，密码字段是 varchar(30) 类型。我无法登录了。我注意到一件事，我的简单 Java 程序每次都为同一个文本字段生成不同的哈希值。

下面是我的简单java程序:

        MessageDigest md = MessageDigest.getInstance("SHA-256");
        String text = "admin";
        md.update(text.getBytes("UTF-8"));
        byte[] digest = md.digest();
        System.out.println(digest.toString());

最佳答案

jdbcRealm 允许编码十六进制或 base64 的值。您需要在您的领域配置和代码中指定其中一种，将字节数组转换为以下格式之一:

Base64:

import com.sun.org.apache.xml.internal.security.utils.Base64;
...
byte[] digest = md.digest();
System.out.println(Base64.encode(digest));

十六进制:

...
byte[] digest = md.digest();
StringBuffer sb = new StringBuffer();
for (int i = 0; i < digest.length; i++) {
    String hex = Integer.toHexString(0xff & digest[i]);
    if (hex.length() == 1) sb.append('0');
    sb.append(hex);
}
System.out.println(sb.toString());

btw, password field is type varchar(30)

您需要增加密码字段的大小。 SHA-256 base64 和 hex 值的长度分别为 45 和 64 个字符。

关于java - Glassfish 安全 - jdbcRealm : How to configure login with SHA-256 digest，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/3444503/