自定义realmzhong认证漏洞问题?
来源:3-5 自定义Realm
酷酷龙GG001
2018-04-27 18:01
必须保证认证返回的simpleAuthenticationInfo中密码和主体提交的密码一致,而数据库或缓存中存入的密码是明文或加密后的密文无关,除非在认证返回simpleAuthenticationInfo时,密码是从数据库或缓存中取对应的密码,如果是这样,那在注册时就应该向数据库中存密码密文。。。。此处只要保证主体提交的密码和认证返回的simpleAuthenticationInfo中密码相同,认证就能顺利通过。
写回答
关注
1回答
-
- RXLiuli
- 2018-04-27 22:11:28
貌似加密及验证不在自定义的 Realm 中进行,主体中的密码是明文则 SimpleAuthenticationInfo 中的密码需要是密文(如果使用了加密的话),而且注册时确实就是向数据库中存放密码密文呀 \(@ ̄∇ ̄@)/
Shiro安全框架入门
从零入门Shiro安全框架
48036 学习 · 332 问题
相似问题