Mam za zadanie:
Napisać prostą aplikację. W której użytkownik po zalogowaniu będzie miał dostęp do swoich plików.
Wszystkie dane muszą być przechowywane na dysku komputera.
Użytkowników może być wielu....
Pytanie:
Przy pomocy czego to najprościej zrealizować?
Dla każdego z użytkowników mógłbym stworzyć po jednym SecretKey i za pomocą jego szyfrować wszystkie pliki. Pytanie, jak go przechowywać i autoryzować do niego dostęp?
Nie przechowuj haseł w bazie.
Trzymaj tylko ich skróty hashujące (SHA-1 lub lepiej SHA-2).
Użytkownik łącząc się będzie podawał hasło.
Prześlij to hasło na serwer używając bezpiecznego połączenia (np. HTTPS).
Teraz wylicz skrót podanego hasła. Jeżeli zgadza się ze skrótem z bazy to najprawdopodobniej jest OK (jest minimalna szansa kolizji). Jeżeli nie, to poinformuj użytkownika o błędzie.
Następnie odszyfruj plik i wyślij go użytkownikowi (po HTTPS)
Użytkownik powinien mieć coś w rodzaju sesji, aby nie musiał podawać hasła przy każdym pliku.
Gdy czas sesji wygaśnie, to hasło powinno zostać usunięte z serwera.
kolego napisałem wyraźnie ze dane przechowuję w plikach na dysku:)
ksdob napisał(a)
kolego napisałem wyraźnie ze dane przechowuję w plikach na dysku:)
W zasadzie niewiele to zmienia.
Nadal program powinien przechowywać tylko hash hasła.
Odpada tylko komunikacja przez HTTPS.
http://forums.sun.com/thread.jspa?threadID=5403375
to chyba będzie fajne rozwiązanie :)
ksdob napisał(a)
http://forums.sun.com/thread.jspa?threadID=5403375
to chyba będzie fajne rozwiązanie :)
To jest bardzo słabe rozwiązanie, gdyż masz w programie wpisane hasło do pliku z kluczami (KEYSTORE_PASSWORD).
Każda osoba mająca dostęp do programu może bez problemu wydobyć to hasło.
W zasadzie są dwa rozwiązania:
No tak ale każdy klucz storujesz z osobna z hasłem użytkownika:
KeyStore.ProtectionParameter passwordProtection = new KeyStore.PasswordProtection("entrypassword".toCharArray());
Zobacz tutaj:
Metoda:
getEntry(String, KeyStore.ProtectionParameter)
UnrecoverableKeyException - if the entry is a PrivateKeyEntry or SecretKeyEntry and the specified protParam does not contain the information needed to recover the key (e.g. wrong password)