Hibernate authentification sans mot de passe stockés en clair

Mon objectif est de s'authentifier auprès de la base de données à l'aide de JDBC/Hibernate de manière sécurisée, sans stocker les mots de passe en texte clair. Les exemples de Code apprécié. Je suis déjà à l'aide de gaufre pour authentifier l'utilisateur, donc si il y avait moyen d'utiliser les informations d'identification que la gaufre obtenus à partir de l'utilisateur, et avant ceux de la DB, ce serait bien.

Deux questions:

Quelle est la méthode recommandée pour multi-hop d'authentification (le client, le serveur web et la base de données sont toutes différentes machines) avec tomcat/hibernate/spring sur le serveur web, une base de données sql, et bien évidemment navigateur client?
Je voudrais également vous contenter d'une manière d'utiliser un seul compte d'utilisateur pour faire de l'authentification, tant que l'utilisateur du compte de l'information n'a pas été stocké dans la plaine du texte n'importe où. Le compte d'utilisateur aurez besoin de privilèges de lecture/écriture sur la DB.

J'ai trouvé quelques informations utiles à propos de la connexion à SQL Server dans ce fil. Toutefois, je m'attends à ce que Tomcat s'exécuter sous le compte par défaut, qui est comme l', le Système Local ou quelque chose. Autant que je sache, ce compte ne peut pas être utilisé pour faire de l'authentification windows à la base de données.

Ma solution:

J'ai fini à l'aide de l'approche mentionné dans le fil au-dessus. Au lieu d'exécuter le service Tomcat en tant que Système Local, il est maintenant en cours d'exécution en tant qu'utilisateur. Cet utilisateur a l'autorisation d'accéder à la base de données. Mon fichier de configuration hibernate est configuré comme suit:

    <property name="hibernate.connection.url">
jdbc:sqlserver://system:port;databaseName=myDb;integratedSecurity=true;
</property>

À ceux qui ont fourni des réponses

Je remercie à l'avance de l'aide et je vais essayer quelques techniques mentionnées dans le fil. Mon problème avec certaines des réponses est qu'elles nécessitent de chiffrement symétrique qui nécessite une clé secrète. En gardant le secret de la clé est presque exactement le même problème que pour stocker le mot de passe en texte clair.

InformationsquelleAutor KyleM | 2011-04-21

2

Bien, nous allons jeter un oeil à ce problème. Vous voulez avoir l'information d'authentification mis à disposition mais pas codé en dur n'importe où dans le code ou dans le système de fichiers. Ce que je suggère:
- exiger que l'administrateur de l'application pour spécifier les informations d'authentification lors du démarrage de l'application, soit via jmx ou via une page web qui ne nécessite pas de connexion de base de données.
- Ajouter un filtre de servlet pour limiter l'accès jusqu'à ce que la base de données d'authentification de l'information est entré.
Cette solution exige une certaine extension de printemps contexte du chargement, de sorte qu'il attend jusqu'à ce que les informations d'authentification spécifié (via la page d'entrée).
- Même si cela semble un peu ridicule ... c'est la seule vraie réponse à la question
- je vous remercie. En fait, j'ai mis en place une solution similaire pour un projet haut niveau de sécurité et aucun mot de passe n'a été à coder en dur dans tout fichier de configuration.
InformationsquelleAutor Pierre
14

j'ai récemment blogué sur ce:

vous pouvez dire tomcat jdbcrealm d'utiliser un algorithme de digest sur le mot de passe comme sha-256 et enregistrer la valeur de hachage plutôt que des mots de passe en clair.

Supposons que votre Utilisateur entités ressembler à ceci:
```
@Entity
@Table(name = "cr_users")
public class UserDetails{
    @Id
    @GeneratedValue
    private long id;
    private String name;
    private String passwordHash;
    @ManyToMany
    private Set<Group> groups;
}
```
lors de la création d'un nouvel Utilisateur par l'intermédiaire d'un service, il est possible de créer un hachage de mot de passe à l'aide d'un MessageDigest:
```
public UserDetails createNewUser(String username,String passwd,Set<Group> groups){
       UserDetails u=new UserDetails();
       u.setname(username);
       u.setGroups(groups);
       u.setPassword(createHash(passwd));
       return u;
}
public String createHash(String data){
        MessageDigest digest = MessageDigest.getInstance("SHA-256");
        digest.update(password.getBytes());
        byte byteData[] = digest.digest();
        //convert bytes to hex chars
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < byteData.length; i++) {
         sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16).substring(1));
        }
        return sb.toString();
}
```
depuis SHA-256 produisent toujours les mêmes hashvalue pour la même entrée que vous pouvez dire de tomcat JDBCRealm d'utiliser cet algorithme pour vérifier les mots de passe.
```
<Realm className="org.apache.catalina.realm.JDBCRealm"
       driverName="org.postgresql.Driver"
       connectionURL="jdbc:postgresql://localhost:5432/mydb"
       connectionName="myuser" connectionPassword="mypass"
       userTable="tc_realm_users" userNameCol="username" userCredCol="passwordhash" 
       userRoleTable="tc_realm_groups" roleNameCol="groupname"
       digest="sha-256"/>
```
le problème est que le serveur tomcat, s'attendent à une distincte format pour la usertable comme ceci:
```
+----------------------+  +-------------------+
|   tc_realm_users     |  | tc_realm_groups   |
+----------------------+  +-------------------+
| username     varchar |  | username  varchar |
| passwordhash varchar |  | groupname varchar |
+----------------------+  +-------------------+
```
si vos données utilisateur un modèle unique que vous avez de la chance, mais mon Hibernation de la génération de tables ressemblait à ça:
```
+----------------------+  +-------------------+  +--------------------+
|     cr_users         |  |      cr_groups    |  | cr_users_cr_groups |
+----------------------+  +-------------------+  +--------------------+
| id              long |  | id           long |  | cr_users_id   long |
| name         varchar |  | name      varchar |  | groups_id     long |
| passwordhash varchar |  +-------------------+  +--------------------+
+----------------------+
```
j'ai donc créé un Vue à l'aide de SQL qui avait le format attendu et il dessine de données à partir de mon webapps données de l'utilisateur:
```
create view tc_realm_groups as
select 
  cr_users.name as username,
  groups.name as groupname
from cr_users 
left join (
        select 
                cr_users_cr_groups.cr_users_id,cr_groups.name 
        from cr_groups 
        left join 
                cr_users_cr_groups 
                on cr_users_cr_groups.groups_id=cr_groups.id
) as groups on groups.cr_users_id=id;

create view tc_realm_users as
select 
  name as username
from cr_users;
```
avec tomcat a été en mesure de s'authentifier/autoriser à nouveau ma déjà existantes, les données de l'utilisateur et écrit les données dans le contexte, de sorte que je pouvais l'utiliser dans mon Jersey (JSR-311) ressources:
```
public Response getEvent(@Context SecurityContext sc,@PathParam("id") long id) {
                log.debug("auth: " + sc.getAuthenticationScheme());
                log.debug("user: " + sc.getUserPrincipal().getName()); //the username!
                log.debug("admin-privileges: " + sc.isUserInRole("webapp-admin"));
                return Response.ok(“auth success”).build();
        }
```
il y a aussi quelques autres Domaine des implémentations là:
- JDBCRealm
- DataSourceRealm
- JNDIRealm
- UserDatabaseRealm
- MemoryRealm
- JAASRealm
- CombinedRealm
- LockOutRealm
quelques liens:
- Je upvoted vous parce que j'ai vraiment apprécier l'effort que vous mettez dans votre post, mais TBH, il est la plupart du temps au dessus de ma tête. Si la passe est haché, où est la clé stockée à unhash il? Où est le hachage sauvé? Ce qui d'entrée est utilisé pour générer le hash? ... Ce qui, dans l'ensemble, est votre réponse tente d'accomplir - est à l'utilisateur d'avoir à entrer un mot de passe pour s'authentifier auprès de la DB? Où est le mot de passe obtenu à partir de? Etc. Désolé, mais je suis confus.
- malade d'affiner ma réponse dès que je suis à la maison à prendre en compte..
- ok, j'ai ajouté quelques explications pour le hachage. vous n'avez pas besoin de toutes les clés pour ce genre d'algorithme, ils ne sont qu'un moyen et l'entrée, il donne toujours le même résultat. espérons que aidé
- hmm je vois maintenant que j'en ai mal lu la question, je n'avais pas compris que tu voulais juste un moyen sécurisé d'authentification de la webapp à la db. je pensais que tu voulais savoir comment stocker de la webapp de détails de l'utilisateur de manière sécurisée DANS la db. Désolé à ce sujet..
- A obtenu d'aimer la façon dont une bonne réponse, mais pas une réponse correcte (par auteur, commentaire) obtient un upvote de 9 (au temps de rédaction de ce commentaire)!
- Ok, ouais c'est pourquoi j'ai été confus. Je ne/ne réaliser que vous ne pouvez pas unhash, ce que je voulais dire c'est où est l'entrée de viennent de, qui est utilisé pour régénérer le hash (pour vérifier l'authentification creds). De toute façon, j'apprécie tout votre temps!
- Vous n'êtes pas ajouter de sel à la table de hachage. Ce n'est pas sécurisé comme il se doit.
- Pone: Merci pour l'astuce! Avec la disponibilité de grandes tables arc-en-ciel ou tout simplement un assez grand utilisateur de la base de beurre non-salé, les hachages sont pas sécurisées. Mais après quelques recherches, il est devenu clair que JDBCRealm n'a pas la possibilité d'y ajouter du sel. Afin de sel à utiliser un autre JDBCRealm mise en œuvre doit être utilisé: par exemple, eneuwirt.de/2011/05/01/saltawarejdbcrealm. Je vais essayer d'affiner la réponse à inclure salé hachages dès que je lui ai donné un essai.
InformationsquelleAutor fasseg
7

Si je comprends bien, votre environnement est le framework hibernate basé sur le web application déployée dans tomcat.

Maintenant, actuellement, vous devez avoir configuré JDBC passsword
i) soit dans votre fichier de configuration hibernate (généralement hibernate.cfg.xml fichier) dans la propriété :-

mise en veille prolongée.connexion.mot de passe

ii) ou dans le fichier de configuration de tomcat:-
```
<Resource name="jdbc/myoracle" ......password="tiger".../>
```
Maintenant, vous ne souhaitez PAS stocker effacer le mot de passe dans les fichiers.

Dans le code de votre application, vous devez être en train de faire :-
```
Line1: org.hibernate.cfs.Condiguration configuration=new Configraution().configure(<hibernate configuration path>);

then,Line2:  configuration.buildSessionFactory().openSession() to create a hibernate session which has underlying JDBC connection.
```
1) d'Une façon peut-être fondamentalement:-
Vous pouvez avoir votre mot de passe crypté à l'aide de toute la sécurité de java alogirthm à l'aide de toute la JCE fournisseur.Stocker le mot de passe crypté dans les fichiers de configuration d'hibernate ou tomcat selon votre environnement de projet).

et puis entre Ligne1 et Ligne2, vous pouvez avoir déchiffrement logique comme:-
```
Line1: org.hibernate.cfs.Condiguration configuration=new Configraution().configure(<hibernate configuration path>);

String encrpytedPassword=
configuration.getProperty("hibernate.connection.password"); \\will return encrypted password

//decryption logic to decypt the encrypted password:-
String decryptedPwd=decrypt(encrpytedPassword);

configuration.setProperty("hibernate.connection.password",decryptedPwd);

then,Line2:  configuration.buildSessionFactory().openSession()
```
Vous pouvez rendre le chiffrement et le déchiffrement aussi complexe que vous le souhaitez pour, par exemple, le chiffrement de la rétro-chaîne-de-claire-mot de passe.
Vous pouvez utiliser n'importe quelle entreprise criminelle commune, l'API:- jasrypt,château gonflable.
Vous avez besoin d'une certaine compréhension de java cryptography.Veuillez vous référer à :-

http://download.oracle.com/javase/1.4.2/docs/guide/security/CryptoSpec.html

2)Dans le cas où vous êtes préoccupé par le mot de passe de la transmission en clair dans JDBC protocole de connexion, vous pouvez utiliser le support de SSL à partir de DB fournisseur de connexion sécurisée. Pour, par exemple, d'avoir SSL connexion JDBC avec votre serveur de base de données. Reportez-vous à votre serveur de base de données resoruces pour cela.

MODIFIÉ POUR CLARIFIER keylM commentaire
COMMENT CHIFFRER LE JDBC MOT DE PASSE

permet de dire que vous avez un privé et l'autre paire de clés publique:= privare.la clé et le public.la cer.
Vous pouvez avoir JDBC mot de passe chiffré avec la clé privée et d'enregistrer le mot de passe crypté dans le fichier de configuration. Vous pouvez utiliser OpenSSL pour l'importation de certificat public dans jks (keystore java) fichier et l'avoir dans votre JAVA_HOME\jre\lib\security.

Dans votre déchiffrement logique:-
```
  KeyStore ks = KeyStore.getInstance("JKS");
  ks.load(new FileInputStream("keystore.jks"),<jks password>); //jks password can be hardoded
Certificate cert=      ks.getCertificate(<certificate alias>);
//use certificate to decrypt the encrypted password
```
Donc, dans ce scénario:-
un hacker aurait besoin de 3 choses pour capturer JDBC mot de passe qui rend le système moins vulenrable:-
i) chiffré JDBC mot de passe
ii) JKS magasin
iii) JKS stocker le mot de passe

Vous pouvez poser des questions alors maintenant, que diriez-JKS stocker le mot de passe, bien que ce soit un clé,mot de passe ou le mot de passe de cryptage-décryptage du système, au moins une chose devrait être très sûr; sinon, il jeopradize l'ensemble du système....dans le scénario ci-dessus, le certificat peut être donné à chaque développeur de la machine pour lui permettre de les importer dans son jks de fichiers protégés par le même jks stocker le mot de passe..tout le monde (le développeur) ne saurait seulement JKS stocker le mot de passe mais jamais JDBC mot de passe...
- Ce lien est d'une énorme (et obsolète?) de référence. J'ai déjà une compréhension à la fois asymétrique et symétrique de la cryptologie. Ce que j'essaie de le faire est de comprendre comment/quoi cryptologie est généralement utilisé dans la pratique. Et ce que je ne comprends pas, c'est comment stocker une clé de déchiffrement en texte brut, est mieux que de stocker un mot de passe en texte clair. Ce que l'exemple de code ci-dessus ne mentionne pas, c'est que cette clé serait nécessaire - les données ne sont pas comme par magie obtenir décrypté. Où est la clé de venir? Quelle est la meilleure pratique sur la gestion de cette clé?
- répondu à votre question en modifiant la réponse ci-dessus. Espérons que cela clarifie.
- "Vous pouvez avoir JDBC mot de passe chiffré avec la clé privée et d'enregistrer le mot de passe crypté dans le fichier de configuration." Peut-être que je me trompe mais je crois que tu voulais dire ".. chiffré avec la clé PUBLIQUE".. puis vous le déchiffrer avec la clé privée trouvé dans le JKS magasin. Si la faiblesse est ici que le JKS stocker le mot de passe est stocké en clair dans le code. Btw, je suis d'accord avec vous qu'il est plus en sécurité en raison de plusieurs obstacles à franchir pour voler le mot de passe..
InformationsquelleAutor ag112
5

Normalement, vous auriez l'application s'authentifier auprès de la base de données sql sous un seul nom d'utilisateur, en passant les détails de l'utilisateur si nécessaire, car les données de ses interrogations, de sorte que vous renvoyer des données pertinentes à cette fin l'utilisateur. Vos clients précisé que chaque utilisateur doit s'authentifier auprès de la base de données comme un utilisateur distinct?
- Fondamentalement, mon problème est le suivant: comment authentifier sur plusieurs serveurs sans coder en dur le nom d'utilisateur/mot de passe de l'information? L'authentification sous un nom d'utilisateur sonne comme le coder en dur le mot de passe sera nécessaire. Mais oui, à l'aide d'un nom d'utilisateur est très bien tant que le mot de passe n'est pas dans la plaine du texte dans un fichier ou quelque chose comme ça.
- Eh bien, en général, vous avez aussi votre un utilisateur de base de données avec des informations de mot de passe stocké comme une chaîne de hash dans un fichier texte, mais vous avez ce fichier texte quelque part à l'extérieur de la structure des fichiers mis à disposition via le serveur web, il n'est donc pas exposé au monde extérieur. Lorsque l'utilisateur se connecte à une application utilisateur, l'application interroge une table de noms d'utilisateurs dans la base de données pour voir si il/elle est un utilisateur enregistré. L'application utilisateur n'a pas besoin de savoir à propos de la DB d'identification de l'utilisateur, seule l'application d'identification de l'utilisateur. Si vous êtes à l'aide de Printemps, il pourrait être utile de doc à lire: s.coop/15r7
- ensuite, le problème resterait encore, comment puis-je utiliser la chaîne de hachage pour s'authentifier sur un Serveur SQL server base de données. En théorie, votre démarche est bonne mais c'est la mise en œuvre là où je suis bloqué. Merci encore.
InformationsquelleAutor Matt Moran
2

Pour être en mesure de manière transparente crypter/décrypter les mots de passe de votre base de données avec hibernate vous avez besoin d'intégrer quelque chose comme Jasypt.

Page d'accueil: http://www.jasypt.org
Voir la section: Jasypt + Hibernate 3

Ici est de savoir comment l'intégrer:
1. Télécharger jasypt.jar et l'ajouter à votre runtime classpath
2. Je vous recommande d'utiliser un régime enregistré d'encryptor:
<typedef name="encrypted" class="org.jasypt.hibernate.type.EncryptedStringType"> <param name="encryptorRegisteredName">strongHibernateStringEncryptor</param> </typedef> <class name="User" table="USER"> <property name="password" column="PASSWORD" type="encrypted" /> <class>

InformationsquelleAutor andi
2

Vérifier les réponses à la même question, Comment faire pour utiliser le mot de passe crypté dans apache BasicDataSource?.
- Jasypt nécessite que vous devez fournir une clé de déchiffrement, le rendant aussi incertain que le stockage d'un mot de passe en clair dans un fichier.. n'est-ce pas? La sécurité par l'obscurité.. ?
- Vérifier stackoverflow.com/questions/3423135/.... C'est ce que je préfère. J'ai posté le lien à l'ensemble de la question, de sorte que vous pouvez passer par d'autres réponses.
- Je l'ai vu. Ce que je disais c'est que, pour décrypter le mot de passe vous avez besoin d'une clé. Si la clé est stockée dans la plaine de texte, vous pouvez ainsi stocker le mot de passe en texte clair..
- Lorsque vous remplacez la source de données la mise en œuvre, on peut juste faire le décrypter la logique dans le code et obscurcir le code.
InformationsquelleAutor Adi
1

Habituellement, cela est géré à l'aide d'un "sysadmin" approche - à l'aide de l'OS:

Le concept de base est "l'externalisation des paramètres de configuration".
Les mots de passe sont stockés en clair dans un "fichier de propriétés" (que le serveur web accède à l'exécution). Les mots de passe sont protégés par la restriction de l'accès aux fichiers à l'aide d'OS au niveau des autorisations de fichier. En règle générale, seuls les "opérations" personnel peut lire/écrire le fichier, et le serveur web a besoin pour s'exécuter avec des privilèges en lecture seule sur le fichier.

Les avantages de cette approche sont:
- Simple à comprendre et à mettre en œuvre (pas de saisie de valeurs chiffrées)
- Protégé par un logiciel conçu pour protéger - c'est l'une des rares choses que l'OS n'est (aussi, le chiffrement peut être cassé si le fichier peut être lu)
- Simple à mettre en place dev/environnements de test - il suffit d'ouvrir les autorisations de dev/test. Aussi, seule la production de serveur d'exécution doit avoir une bonne sécurité
- Évite de dépendances sur "aucune valeur" des bibliothèques (qui n'aident pas à résoudre votre problème d'entreprise)
- "Toutefois, je m'attends à ce que Tomcat s'exécuter sous le compte par défaut, qui est comme l', le Système Local ou quelque chose. Autant que je sache, ce compte ne peut pas être utilisé pour faire de l'authentification windows à la base de données." Alors, êtes-vous de suggérer que j'ai exécuter le service Tomcat avec un autre compte que le système local? Aussi, ce n'est pas la réponse à la question d'origine, qui ne mentionne aucun texte brut... mais je vous remercie pour votre contribution.
- L'exécution de Tomcat sur un autre service (pas de système local) est généralement une bonne idée, peu importe.
InformationsquelleAutor Bohemian
1

Vous pouvez utiliser un JDNI source de données sur votre serveur d'application qui permettra d'avoir les informations de connexion pour la Base de données.

Alors vous pouvez simplement dire à votre demande par le biais de votre web.xml utiliser la source de données sur votre serveur d'applications web.

Voici comment je l'ai fait sur un Weblogic 9 de l'utilisation d'Hibernate 3:

Dans Hibernate.cfg.xml
```
<property name="connection.datasource">jdbc/MYJDNINAME</property>  
<property name="connection.autocommit">true</property> 
<property name="hibernate.connection.release_mode">on_close</property>
```
Dans weblogic.xml
```
    <reference-descriptor>
    <resource-description>
        <res-ref-name>jdbc/MYJDNINAME</res-ref-name>
        <jndi-name>MYJDNINAME</jndi-name>
    </resource-description>
</reference-descriptor>
```
Des solutions similaires peuvent être utilisés pour tomcat et d'autres serveurs d'applications:

Tomcat 6 Instructions
- Pouvez-vous donner des précisions sur votre post ci-dessus? Par exemple, comment JDNI aide-moi à me connecter sans le coder en dur l'information (il ne semble pas que c'est ce que sa pour..)? Où serait-il obtenir l'authentification des infos? Que faudrait-il faire pour utiliser l'authentification de l'info? Je suis nouveau sur JDNI donc une explication de pourquoi je devrais utiliser JDNI pour résoudre ce problème serait de l'aide. Merci de répondre!
InformationsquelleAutor bsimic
1

J'ai reçu votre point de KyleM. Vous pouvez le faire :
1. Créer un fichier texte ou de registre(dans le cas de Windows) lieu quelque part sur d'autres serveur en mode crypté.
2. OU vous pouvez utiliser cette Lamport une époque algorithme de mot de passe
- L'algorithme de Lamport vérifie que vous avez à parler à la même personne. Il n'est pas de vérifier que la personne à qui vous parlez est digne de confiance. Vous avez à prendre une décision séparément, avant d'utiliser l'algorithme. Alors, comment est l'algorithme de Lamport applicable ici?
- Elle permettra d'éviter le codage en dur des de mot de passe.
InformationsquelleAutor Kamahire

Vous devez vous connecter pour publier un commentaire.