Java GWT/GWT Ext中密码字符串的md5哈希?
我目前正在尝试修改一个现有的GWTEXT应用程序,即在其MySql数据库中使用纯文本密码 我的计划是使用md5哈希,因为使用MySql函数可以很容易地修改现有密码,我还希望为GWT Ext端找到一个简单的解决方案。但正如我发现的,GWT不支持java.security,而且似乎没有任何其他实现可以用于在客户端将密码字符串更改为md5哈希 到目前为止,我找到的唯一“解决方案”是通过JSNI重新实现md5方法,如下所述: Ext JS已有一个用户扩展,但我找不到任何适用于GWT Ext的扩展: 有人知道解决这个问题的更优雅/简单的方法吗?也许我应该用别的东西而不是md5来确保密码是加密的 干杯Java GWT/GWT Ext中密码字符串的md5哈希?,java,javascript,gwt,md5,gwt-ext,Java,Javascript,Gwt,Md5,Gwt Ext,我目前正在尝试修改一个现有的GWTEXT应用程序,即在其MySql数据库中使用纯文本密码 我的计划是使用md5哈希,因为使用MySql函数可以很容易地修改现有密码,我还希望为GWT Ext端找到一个简单的解决方案。但正如我发现的,GWT不支持java.security,而且似乎没有任何其他实现可以用于在客户端将密码字符串更改为md5哈希 到目前为止,我找到的唯一“解决方案”是通过JSNI重新实现md5方法,如下所述: Ext JS已有一个用户扩展,但我找不到任何适用于GWT Ext的扩展:
弗兰克就个人而言,我认为你做错了。我不会在客户端散列密码(这就是GWT)。如果你散列你的密码,毫无疑问你会想盐它,否则你将容易受到攻击。如果您在客户端对其进行hash+salt,您的salt将可供您的用户访问 如果我是你,我会在服务器端对你的密码进行hash+salt操作。这将允许您使用标准Java代码执行MD5哈希 我的2美分
-JP另一个可能适合你需要的想法是零知识认证。(即,服务器永远不需要知道用户的纯文本密码。) 基本上,当设置初始密码时,客户机将用户密码散列N次(其中N是一个较大的数字,如1000),然后将最终散列与N一起发送到服务器。服务器存储散列和N 稍后,当用户想要进行身份验证时,服务器告诉客户端N-1,客户端将用户键入的密码散列N-1次并发送到服务器。服务器对接收到的散列再进行1次散列,并(希望)获得存储的散列。然后服务器存储N-1散列和N-1编号 每次用户进行身份验证时,服务器都会减少存储的N并保存上一个哈希 当N降至0时,用户必须选择并设置新密码 服务器必须确保它从不要求相同的迭代,否则容易受到重播的攻击。您无法从客户端强制执行该条件,因为客户端(尤其是浏览器)无法可靠地跟踪最后N个。您可以使用以下方法在客户端生成哈希:
String getSHA1for(String text) {
SHA1Digest sd = new SHA1Digest();
byte[] bs = text.getBytes();
sd.update(bs, 0, bs.length);
byte[] result = new byte[20];
sd.doFinal(result, 0);
return byteArrayToHexString(result);
}
String byteArrayToHexString(final byte[] b) {
final StringBuffer sb = new StringBuffer(b.length * 2);
for (int i = 0, len = b.length; i < len; i++) {
int v = b[i] & 0xff;
if (v < 16) sb.append('0');
sb.append(Integer.toHexString(v));
}
return sb.toString();
}
String getsha1(字符串文本){
SHA1Digest sd=新的SHA1Digest();
字节[]bs=text.getBytes();
标准差更新(bs,0,bs.长度);
字节[]结果=新字节[20];
sd.doFinal(结果为0);
返回byteArrayToHexString(结果);
}
String byteArrayToHexString(最终字节[]b){
最终StringBuffer sb=新StringBuffer(b.长度*2);
for(int i=0,len=b.length;i