優れたSpring Security Pluginを使用するGrailsアプリケーションで作業しています。認証はOracle Access Managerを介して行われ、アプリケーションURLを保護します。ですからPreAuthフィルタを使うだけで、パスワードについて心配する必要はありません。今まで。Spring Securityセッションのプレーン・テキスト・パスワード
私たちが(冷凍サンプルを管理し、ユーザが誰かのサンプルを見ないようにユーザアクセス管理を必要とする)統合し、LDAPを使用する別のアプリケーションがあります。前記アプリケーションは、ユーザ名パスワードを取り込み、そのユーザのアクセスに基づいてデータを返すAPIを公開する(ユーザ機能の代わりにはない)。
問題は、私は自分のパスワードをユーザーに尋ねると、そのサービスにプレーンテキストのパスワードを送信する必要がです。だから、ハッシュとエンコーディングは可逆でなければならず、ハッシュコードを比較することはできません。可能な限り最良の方法でこれを管理する方法に関する提案はありますか?
私はサーバー上で作成されたランダムな塩を使って(そして6時間ごとにサイクルを繰り返す)、パスワードをエンコードして短命のクッキーに設定し、外部の呼び出し時にサーバー上でデコードすることを考えていましたサービス。この方法では、潜在的な攻撃者はサーバーのメモリとユーザーのシステムからのCookieからのデータを必要とし、プレーンテキストのパスワードはどこにも保存しません。ただの素朴な試み。非常に提案に開放されています。
"問題は、ユーザーにパスワードを尋ねてプレーンテキストのパスワードをそのサービスに送る必要があることです。 - **これはまさに問題です。ある時点でプレーンテキストパスワードが必要な場合は、問題を難読化するのではなく解決してください。 – Krease
@あなたがプレゼンテーションで迷惑をかけるかどうかはわかりません。私は大胆な文字を使用して、ユーザーが背景を読んでみたくない場合、私の質問に答えさせました。私はあなたが何を意味するか分かりません。パスワードが必要な外部APIを解決できません。それを最善に管理するための提案が必要です。そして私はどのように問題を難読化しましたか? –
混乱の謝罪。ここで迷惑や理解の問題はありません。あなたはAPIを変更しないソリューションを探しています。私はこれが[XY問題](http://xyproblem.info/)だと思う - あなたの実際の問題ではなくあなたの試行された解決策を尋ねる。実際の問題は、プレーンテキストのパスワードを解読する必要があることです。理想的には、その要件を元に戻すことができます。私はこれが可能ではないかもしれないと認識しています。それは私が答えではなくコメントとして置く理由です。 「問題を難読化する」という私の声明は、塩/エンコーディング/ etcへの応答でプレーンテキストの問題を隠すことでした – Krease