由于我的日常工作的一部分,我不得不施用古老,曾经依赖于下列身份验证模式“只是内部的” JSP Web应用程序的不幸:如何以编程方式加密/解密JSP中的纯文本凭证?
...
// Validate the user name and password.
if ((user != null) && (password != null) && (
(user.equals("brianmay") && password.equals("queen")) ||
(user.equals("rogertaylor") && password.equals("queen")) ||
(user.equals("freddiemercury") && password.equals("queen")) ||
(user.equals("johndeacon") && password.equals("queen"))
)) {
// Store the user name as a session variable.
session.putValue("user", user);
...
虽然我想,女王的成员从来都不是系统的使用者,但无论如何它确实是一个很好的例子,不是吗?
尽管通过策略这个客户端通过域身份验证来强制执行安全性,所以这个问题并不被视为安全风险,但我的想法是至少使用一个简单的MD5混淆纯文本凭证或SHA1方法,所以这种敏感数据肉眼不可见。
我是JSP的总新手,所以我非常感谢您愿意与我分享的任何建议。
非常感谢!
美丽!非常感谢!什么是最简单的方式来存储MD5哈希?纯文本文件? – 2008-11-21 13:25:00