वसंत सुरक्षा 3.1.4.RELEASE के रूप में, पुराने org.springframework.security.authentication.encoding.PasswordEncoder
has been deprecatedorg.springframework.security.crypto.password.PasswordEncoder
के पक्ष में नए पासवर्ड एन्कोडर का उपयोग कैसे करें। चूंकि मेरा आवेदन अभी तक जनता को जारी नहीं किया गया है, इसलिए मैंने नए स्थानांतरित करने का फैसला किया, न कि बहिष्कृत एपीआई।वसंत सुरक्षा
अब तक, मेरे पास ReflectionSaltSource
था जो स्वचालित रूप से उपयोगकर्ता के पंजीकरण दिनांक को पासवर्ड के लिए उपयोगकर्ता के नमक के रूप में उपयोग करता था।
String encodedPassword = passwordEncoder.encodePassword(rawPassword, saltSource.getSalt(user));
प्रवेश प्रक्रिया के दौरान, वसंत भी मेरी सेम इस्तेमाल किया यह सत्यापित करें कि उपयोगकर्ता या साइन इन नहीं कर सकते हैं उचित मैं नया पासवर्ड एनकोडर में इस लक्ष्य को हासिल नहीं कर सकते, क्योंकि SHA-1 के डिफ़ॉल्ट कार्यान्वयन। - StandardPasswordEncoder
में एन्कोडर निर्माण के दौरान वैश्विक गुप्त नमक जोड़ने की क्षमता है।
क्या गैर-बहिष्कृत एपीआई के साथ इसे सेट अप करने का कोई उचित तरीका है?
तो यदि आपके पास वास्तव में पंजीकृत उपयोगकर्ता हैं तो क्या होगा? मुझे लगता है कि पासवर्डकोडर को किसी बिंदु पर हटा दिया जाएगा। माइग्रेट कैसे करें? – Marc
माइग्रेटिंग खातों में आम तौर पर आवश्यकता होती है कि जब उपयोगकर्ता सफलतापूर्वक लॉग इन करता है तो आप पासवर्ड को फिर से बंद कर देते हैं। आपको माइग्रेशन अवधि के लिए एकाधिक एल्गोरिदम का भी समर्थन करना होगा। इसके अलावा आपको पासवर्ड रीसेट की आवश्यकता हो सकती है या अंततः अप्रयुक्त खातों को लॉक या हटाया जा सकता है, जिनका अतिरिक्त अवधि के लिए उपयोग नहीं किया गया था। यह आपके सिस्टम और आवश्यकताओं पर निर्भर करता है। मुझे यकीन है कि यदि आप कुछ खोज करते हैं तो आप इस पर चर्चा कर सकते हैं, क्योंकि यह एक आम समस्या है और पासवर्ड डीबी समझौता की संख्या बढ़ने के साथ अधिक प्रासंगिक हो रही है। कम से कम आप [plaintext] (http://ow.ly/qZQh0) का उपयोग नहीं कर रहे हैं :-)। –
मेरे पास एक ऐसा एप्लिकेशन है जो लाइव है और पुराना पासवर्ड एन्कोडर का उपयोग नमक के साथ कर रहा है। क्या नए पासवर्ड एन्कोडर में माइग्रेट करने के बारे में कोई उदाहरण है? – user2213684