Java DBMS与Web应用层中的密码哈希验证/检查

我可以在系统的Web应用层或DBMS（postgresql的pgcrypto）中进行密码哈希。使用或有什么好处吗

关于更多内容，我将使用Amazon的AWS（EC2和RDS）

系统有各种移动客户端，它们与后端联系（通过一个Spring/Hibernate Web应用程序）。不能通过这些移动客户端直接访问数据库，它们都必须通过JavaWeb应用程序

编辑： 其他花絮：

---

HTTP基于SSL的基本身份验证，无状态/RESTFUL（尽可能多），使用blowfish密码对随机（well..psuedo random）生成的salt进行散列

密码是否会同步？（由多个应用程序使用）如果是，将是最大的指南。我通常建议不要处理未加密的密码。另一方面，搞乱密码散列非常容易，也很难修复，所以使用一个获得安全更新的库。最重要的是，在处理安全性问题时，简单、清晰、文档完整的代码更为重要。

您能说得更具体一些吗？什么哈希？什么盐析算法？你考虑过SSO吗？您的设计参数究竟是什么？由多个客户端使用，但客户端必须通过web应用程序与数据库进行间接交互。我将使用随机生成的blowfish密码，然后尽快进行散列。进一步研究表明，SSL支持目前仅适用于MySql和SQL server数据库引擎，至少根据亚马逊的RDS FAQ。一旦我将我的RDS实例放在VPS中，它就不会是面向公众的/可访问的，而且我认为SSL也不会成为一个重要因素。我现在会接受你的建议（im处于早期原型阶段），并在web应用层中进行散列。通过这种方式，它确保了无法在通往数据库的路径中获取明文密码。谢谢你的帮助！