Keycloak自定义PasswordHashProvider,每个连接上的salt更改
基础概念
Keycloak是一个开源的身份和访问管理解决方案,它提供了用户认证、授权、单点登录(SSO)等功能。PasswordHashProvider是Keycloak中用于处理密码哈希的接口,允许开发者自定义密码的哈希算法和盐(salt)的生成方式。
相关优势
- 安全性:自定义
PasswordHashProvider可以提高系统的安全性,因为你可以使用更强的哈希算法和更复杂的盐生成策略。 - 灵活性:根据具体需求,可以选择或实现最适合的哈希算法和盐生成方式。
- 兼容性:可以确保新系统与旧系统的密码兼容性,或者在迁移用户数据时保持密码的安全性。
类型
Keycloak支持多种类型的PasswordHashProvider,包括但不限于:
- BCrypt:一种广泛使用的强哈希算法。
- PBKDF2:基于密码的密钥派生函数2,可以配置迭代次数和盐的长度。
- SCRYPT:一种更现代的哈希算法,旨在抵抗硬件加速攻击。
应用场景
- 高安全性需求:在需要极高安全性的系统中,使用自定义的
PasswordHashProvider可以确保密码存储的安全性。 - 兼容性问题:在迁移用户数据或与其他系统集成时,可能需要自定义哈希算法以保持密码的兼容性。
- 特定业务需求:根据业务需求,可能需要实现特定的哈希算法或盐生成策略。
自定义PasswordHashProvider示例
以下是一个简单的示例,展示如何在Keycloak中自定义一个PasswordHashProvider,并在每个连接上更改盐:
import org.keycloak.models.PasswordPolicy;
import org.keycloak.models.RealmModel;
import org.keycloak.models.UserModel;
import org.keycloak.provider.ProviderConfigProperty;
import org.keycloak.storage.password.PasswordHashProvider;
import org.keycloak.storage.password.PasswordHashProviderFactory;
import org.keycloak.storage.password.PasswordHasher;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.SecureRandom;
public class CustomPasswordHashProvider implements PasswordHashProvider, PasswordHashProviderFactory {
private static final String ID = "custom-password-hash-provider";
private static final List<ProviderConfigProperty> CONFIG_PROPERTIES = new ArrayList<>();
static {
CONFIG_PROPERTIES.add(new ProviderConfigProperty("saltLength", "Salt Length", "integer", "16", "Salt length for the custom hash provider"));
}
@Override
public void init(RealmModel realm) {
// Initialization code here
}
@Override
public void postInit(RealmModel realm) {
// Post-initialization code here
}
@Override
public String getId() {
return ID;
}
@Override
public boolean supportsHashType(String hashType) {
return true; // Support all hash types
}
@Override
public PasswordHasher getPasswordHasher() {
return new PasswordHasher() {
private final SecureRandom random = new SecureRandom();
@Override
public String hash(String password) {
byte[] salt = new byte[Integer.parseInt(getConfig().getProperty("saltLength", "16"))];
random.nextBytes(salt);
// Implement your custom hashing algorithm here
return "customHash(" + new String(salt) + "," + password + ")";
}
@Override
public boolean verify(String rawPassword, String hashedPassword) {
// Implement verification logic here
return hashedPassword.equals(hash(rawPassword));
}
@Override
public boolean needsRehash(String hashedPassword) {
return false; // Always rehash if needed
}
};
}
@Override
public void close() {
// Cleanup code here
}
@Override
public String getDisplayType() {
return "Custom Password Hash Provider";
}
@Override
public String getHelpText() {
return "A custom password hash provider that changes the salt on each connection.";
}
@Override
public List<ProviderConfigProperty> getConfigProperties() {
return CONFIG_PROPERTIES;
}
@Override
public Map<String, String> getDefaultConfig() {
return Map.of("saltLength", "16");
}
}解决常见问题
为什么每个连接上的salt需要更改?
- 安全性:每次连接使用不同的盐可以防止彩虹表攻击,因为彩虹表是基于固定盐生成的。
- 随机性:使用随机生成的盐可以增加密码的复杂性,使得破解难度大大增加。
如何解决自定义PasswordHashProvider的问题?
- 实现逻辑:确保自定义的哈希算法和盐生成逻辑正确无误。
- 测试:在部署之前,进行充分的单元测试和集成测试,确保自定义的
PasswordHashProvider能够正常工作。 - 配置:在Keycloak的配置文件中正确配置自定义的
PasswordHashProvider,并确保其ID和其他属性设置正确。
参考链接
通过以上步骤和示例代码,你可以在Keycloak中实现一个自定义的PasswordHashProvider,并在每个连接上更改盐,从而提高系统的安全性和灵活性。
相关·内容
我正在尝试创建一个自定义的PasswordHashProvider。我成功地创建了组件,算法正在工作,数据库中保存的密码是正确的。 盐是存储在数据库中的,但我不明白它是如何存储的。盐是生成并存储的,但在连接期间检索到的盐在每次尝试时都是不同的。: [B@355bae9a 有人知道盐是怎么储存的吗?我的类(对于测试,我强制迭代到5000次): import org.keycl
浏览 60提问于2021-02-09得票数 1
回答已采纳
1回答
我们有几个应用程序,在这些应用程序中我们使用自定义实现的安全性和用户管理。现在,我们可能会切换到键盘斗篷,因为这是一个更好的解决方案。在每个应用中,我们都在几个地方使用我们的用户模型,比如产品(f.e )。creator_id = 1) a.s.o.类似的问题在这里被问到,我如何保持我们的用户模型,但使用密钥斗篷进行身份验证和用户管理,而不将我们的用户迁移到密钥斗篷?以及如何同步用户注册过程(与Keycloak)?一个
浏览 5提问于2017-10-19得票数 2
回答已采纳
我已经捆绑了一个自定义的主题作为钥匙斗篷码头形象的一部分。在启动keycloak集群时,需要在主域中设置自定义主题。
如何配置主域以设置自定义主题?
浏览 12提问于2020-12-31得票数 2
回答已采纳
我使用JBoss EAP6.2、JavaEE 6.0和keycloak-eap6-adapter-dist 6.0.1来验证密钥披风。keycloak.json目前已打包到部署的war存档中(在WEB下),因此不能对每个客户进行互换。您知道如何将keycloak.json的路径更改为外部路径以使其在每个安装/阶段(例如使用Docker)中可互换吗?解决方案:幸亏我们实现了一个自定义配置解析器,如下所示:
public cla
浏览 0提问于2019-06-19得票数 2
回答已采纳
但是对于我打开和关闭连接的每个文件。像ftp客户端应用程序一样,使用用户名和密码进行连接,更改目录,上传file1,上传file2,上传file3,断开连接。
浏览 2提问于2009-11-21得票数 7
1回答
我在Keycloak上有两种自定义身份验证方法。我将它们配置为相同的领域。当我尝试在自定义身份提供程序中使用登录时,身份验证流可以正常工作。在流程结束时,配置了用户联合(定制实现用户联合
浏览 1提问于2018-03-30得票数 2
我已经配置了一个外部身份提供程序(挪威的一个、Signicat、BankID),它们需要设置“acr_value”作为查询参数来授权调用。这是我想添加的请求参数: acr_values=urn:signicat:oidc:method:nbid <client_id>&redirect_uri=
问题是,当我配置身份提供程序时,我无法看到如何在Keycloak中设置它。我下载了Keycloak源代码来查看是否在那里找到了什么,我在AbstractOAuth2
浏览 3提问于2021-01-08得票数 1
考虑以下场景:您有一个SSO服务(比方说Keycloak)和X应用程序,它们都有自己的数据库,在每个数据库中的某个地方,您引用的是一个user_id。怎么处理这个?如何满足国外的约束问题?
浏览 19提问于2022-02-09得票数 2
1回答
为集成测试隔离数据库操作
、、、
我使用的是NHibernate和ASP. and /MVC。我为每个请求使用一个会话来处理数据库操作。对于集成测试,我正在寻找一种方法,使每个测试在隔离模式下运行,不会更改数据库并干扰并行运行的其他测试。类似于可以在测试结束时回滚的事务。主要的挑战是每个测试都可以发出多个请求。如果一个请求更改了数据,则下一个请求必须能够看到这些更改,等等。 我尝试将会话绑定到auth cookie,以便为以下测试请求创建子
浏览 16提问于2019-09-04得票数 0
在管理配置文件时,是否有一种方法可以使salt堆栈表现得像个傀儡。我想要做的任务是使sshd_config由salt堆栈管理。如果对文件进行了更改,我希望salt master在主文件检测到托管配置文件不同或已被修改时,通过推入主副本来覆盖它。这个设置可以使用盐类堆栈吗?
浏览 0提问于2016-11-02得票数 0
回答已采纳
我希望通过在kube规范中指定的kube-apiserver命令中添加几个标志来启用ABAC授权模式。
更新所有实例的kube元数据,以便
浏览 0提问于2016-06-03得票数 1
回答已采纳
1回答
我们的用户帐户,权限,规则…所有数据都存储在不同的单片应用程序使用的自定义数据库中。为了保护我们的api,我们决定使用Keycloak。用户权限基于数据库中的某些规则,并且经常更改。
在我的理解中,keycloak可以使用硬编码或基于用户的策略处理授权和细粒度权限,但不能本地插入不同的授权源。因此,我考虑使用Keycloak 构建一个自定义</em
浏览 1提问于2018-06-04得票数 4
回答已采纳
,我可以打开另一个PreparedStatement并获取另一个ResultSet,或者我可以根据从第一个ResultSet获得的数据执行更新(即,当我意识到该行的密码列中有一个明文密码时,插入一个Salt有没有简单的方法来修复这个错误,也许是MySQL到.NET桥的任何其他实现?我并不想在一个应用程序中创建大量的数据库连接,尽管我可能希望为应用程序中的每个线程创建一个数据库连接(就像在ThreadLocal中一样)。reader.GetString(
浏览 0提问于2010-09-10得票数 5
回答已采纳
我有一个应用程序,其中单个用户可以在多个公司的上下文中工作。我们将这样的连接(用户<->公司)称为许可。每个许可都可以有不同的权限/角色集。我们希望用户只登录一次,然后他可以简单地更改应用程序内的许可证,而不需要再次输入密码。 到目前为止,我们只有一个应用程序,并将整个权限模型保存在我们自己的数据库中。不幸的是,现在我们必须支持第二个应用程序,它应该继承这些许可证。我想知道是否有可能将该模型移动到keycloak
浏览 21提问于2019-03-03得票数 0
有没有更好的方法来使用RethinkDB节点驱动程序运行并行查询,而不是为每个请求打开多个连接?或者这实际上是我所需要的东西的一种好方法?我更喜欢远离连接池/第三方包。有问题的应用程序有一个包含包装RethinkDB查询的函数的单例。这些函数处理创建和关闭连接。此模式允许我以最小的开销在多个路由器中请求数据库服务,而不必了解每个请求。一个人为的例子来解释被查询的数据可能是多么不相关:
da
浏览 0提问于2015-09-05得票数 2
我的目标是为每个用户提供一个唯一的盐,而不仅仅是为每个用户使用Configure::read('Security.salt')。谢谢。
更新:I最终使用了汉尼拔博士的答案(创建自定义身份验证对象)。>Auth->authenticate = array('For
浏览 8提问于2012-07-16得票数 10
回答已采纳
我们使用Keycloak服务器对几个国内流离失所者(google、活动目录等)进行身份验证。我们有一个spring网关微服务,它扮演一个客户端的角色,还有几个其他的微服务扮演资源服务器的角色。当用户通过keycloak进行身份验证时,我们希望将经过身份验证的用户与来自自定义数据库(而不是Keycloak DB)的一些自定义字段(如上下文、角色、用户详细信息)关联起来,并将这些字段也发送到其他微服务,这样我们就不需要在
浏览 1提问于2022-05-17得票数 1
回答已采纳
1回答
我必须在Shiro中创建自定义领域,并且我必须使用带有"salt“的密码。)); // Same salt as in shiro.ini, but NOT base64-encoded.: customSecurityRealm=cl.fooproyect.CustomRealm为了解决这个问题,我必须更改shiro.ini和createAdmin。shiro.ini中的更改
passwo
浏览 3提问于2014-08-09得票数 1
我有一个带有方法的数据库类,如下所示。foo和bar都是全无操作。因此,需要进行交易。请注意,我使用的是MySQL 5.5.21和MySQL .NET Connector 6.6.4。我还尝试在每个事务范围之前显式地打开一个连接,但仍然没有成功。
编辑:准确的错误是:操作对事务的</
浏览 5提问于2012-11-12得票数 0
回答已采纳
我希望能够在使用SQLite和SqlServer作为ASP.NET核心应用程序中实体框架的数据库提供程序之间进行即时切换。将DbContext与数据库提供程序关联的常见模式是通过ConfigureServices方法中的代码:EF Core的<
浏览 13提问于2018-12-07得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
