那些遇到过的问题

com.sun.faces.ClientStateSavingPassword - 实际密码的建议?

Eva*_*les 8 passwords client-side jsf-2 mojarra state-saving

在我发现的关于加密ViewState的所有参考页面中,对密码的唯一评论是"您的密码在这里".

是否有关于我们应该使用的密码长度/复杂性的建议?

Bal*_*usC 19

取决于Mojarra版本.它在早期版本中有几个缺陷/失败.

Mojarra 1.2.x - 2.1.18中,它从未真正使用过.JNDI条目名称未正确记录.它被记录com.sun.faces.ClientStateSavingPassword(与Mojarra的其他web.xml上下文参数具有相同的前缀),但代码实际上会检查ClientStateSavingPassword.然后,您应该在该名称上注册它.

<env-entry>
    <env-entry-name>ClientStateSavingPassword</env-entry-name>
    <env-entry-type>java.lang.String</env-entry-type>
    <env-entry-value>[Your Password]</env-entry-value>
</env-entry>
Run Code Online (Sandbox Code Playgroud)

否则,客户端状态实际上未加密.

Mojarra 1.2.x - 2.0.3中,密码用作生成DES算法密钥SecureRandom种子.因此,通常,相同的规则适用于"真实世界"密码.只是,如果密码"太简单"并且攻击者成功猜测/强制/计算密码,这很容易受到损害.

Mojarra 2.0.4 - 2.1.x中,他们将算法从DES 更改为AES,现在代码实际上不再使用提供的密码来生成密钥(以防止潜在的包含).取而代之的,是一个完全随机密钥生成,这是更安全的.JNDI条目现在基本上控制客户端状态是否应加密.换句话说,它现在表现得像布尔配置条目.因此,您使用哪个密码绝对无关紧要.

<env-entry>
    <env-entry-name>ClientStateSavingPassword</env-entry-name>
    <env-entry-type>java.lang.String</env-entry-type>
    <env-entry-value>[Any value is interpreted as boolean=true to enable encryption]</env-entry-value>
</env-entry>
Run Code Online (Sandbox Code Playgroud)

Mojarra 2.1.19 - 2.1.x中,他们修复了代码以使文档与JNDI条目名称保持一致.因此,您可以使用记录的JNDI条目名称:

<env-entry>
    <env-entry-name>com.sun.faces.ClientStateSavingPassword</env-entry-name>
    <env-entry-type>java.lang.String</env-entry-type>
    <env-entry-value>[Any value is interpreted as boolean=true to enable encryption]</env-entry-value>
</env-entry>
Run Code Online (Sandbox Code Playgroud)

但是,这仍然不会影响自2.0.4以来更改的AES密钥,它仍然基本上只启用/禁用加密.

Mojarra 2.2.0 - 2.3.x中,作为JSF 2.2规范(第7.8.2章)的一部分,客户端状态现在默认始终是加密的.仅当web.xml上下文参数com.sun.faces.disableClientStateEncryption设置为value 时,才会禁用它true.它仍然使用AES算法和完全随机的密钥.JNDI条目com.sun.faces.ClientStateSavingPassword现在不再使用了.

钻嘴鱼科2.2.6 - 2.3.x版本,他们增加了按发行3087一个新的JNDI条目,它允许您指定Base64编码格式的AES密钥jsf/ClientSideSecretKey.这是在群集环境中使用JSF webapp时失败的客户端状态的错误修复的一部分,因为每个服务器使用不同的AES密钥,这只会导致ERROR: MAC did not verify!在与保存状态的服务器不同的服务器中恢复何时状态,如问题2557中所述.

<env-entry>
    <env-entry-name>jsf/ClientSideSecretKey</env-entry-name>
    <env-entry-type>java.lang.String</env-entry-type>
    <env-entry-value>[AES key in Base64 format]</env-entry-value>
</env-entry>
Run Code Online (Sandbox Code Playgroud)

您可以使用此AES密钥生成器生成一个(刷新页面以重新生成),或使用下面的代码段生成您自己的Base64编码的AES256密钥:

KeyGenerator keyGen = KeyGenerator.getInstance("AES");
keyGen.init(256); // Use 128 for AES128 (when server don't have JCE installed).
String key = Base64.getEncoder().encodeToString(keyGen.generateKey().getEncoded());
System.out.println(key); // Prints AES key in Base64 format.
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2557 次

最近记录:

7 年,9 月 前
相关归档
如何在javascript中获取UTC偏移量(在C#中类似于TimeZoneInfo.GetUtcOffset) 21
将密码从Drupal 7迁移到Django 10
Python:使用带有argparse的getpass 10
JSF中的faces-redirect = true 8
适当的密码存储和服务帐户检索? 7
如何仅更新p:tabView的活动选项卡? 6
Javascript在JSF模板下不起作用 5
如何使用河豚自动生成用于crypt方法的盐 5
Visual Basic密码生成器 5
如何处理未找到的javax.faces.resource资源 2
难疑归档
如何在本地和远程删除Git分支? 16311
设置JavaScript函数的默认参数值 2277
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
从C#中的枚举中获取int值 1698
在GitHub上将图像添加到README.md 1675
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
我应该如何道德地接近用户密码存储以便以后的明文检索? 1346
从已从磁盘中删除的Git存储库中删除多个文件 1294
如何从主机获取Docker容器的IP地址? 1221
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177