GroupSession
初めて投稿させていただきます、baratheaと申します。現在、プラグイン側でグループセッションのIDとパスワードを取得して別のシステムにログイン情報として飛ばす仕組みを作っています。そこでパスワードの値を取得する方法が全く見当も付かず困っております。セッション情報からIDを取得する方法は技術情報に書かれている通りで特に問題はないのですが、パスワードはセッション情報から取得できるものではないようで、改修の対象もJAVAなのかJSPなのか、どのように実現したらよいか分かりません。どなたかプラグイン側でパスワードを取得する方法を実現、または開発を検討されている方がおりましたら、アドバイスまたはヒントを頂戴できればと思いまして質問いたしました。よろしくお願いいたします。
パスワードそのものはグループセッションでは記録されていないので、取得することは出来ません。暗号化されたパスワードならばデータベースの「CMN_USRM」テーブルの「USR_PSWD」に記録されていますので、このテーブルから取得することが出来ます。グループセッションと同じIDとパスワードでユーザー認証を行いたいというのでしたら、暗号化されたパスワードを利用可能な場合がありますが、素のパスワードが必要なのでしたら実現不可能だと思われます。
復号化については下記記事をご参照ください。http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957
m.s様さっそくアドバイスをいただきまして、ありがとうございます。> パスワードそのものはグループセッションでは記録されていないので、取得することは出来ません。> 暗号化されたパスワードならばデータベースの「CMN_USRM」テーブルの「USR_PSWD」に記録されていますので、このテーブルから取得することが出来ます。セキュリティを考えたら当然といえば当然ですが、やはり素のパスワードをそのまま取得することはできないのですね。> グループセッションと同じIDとパスワードでユーザー認証を行いたいというのでしたら、暗号化されたパスワードを利用可能な場合がありますが、素のパスワードが必要なのでしたら実現不可能だと思われます。グループセッションから別のシステムへのシングルサインオンを実現したかったのですがおっしゃる話だとなるほどかなり難そうですね。ひとまず暗号化されたパスワードを解読できるかどうかやれるところまでやってみたいと思います。ありがとうございました。
kon様さっそくアドバイスをいただき、ありがとうございます。> 復号化については下記記事をご参照ください。> > http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957暗号化と復号化のおおまかな仕組みは理解できるのですが、この記事を呼んだだけでは全くピンと来ないのが正直な感想です。。。ひとまず詳細を調べて分かるところまでチャレンジしてみようと思います。
ちょっと趣旨と外れますが・・・。GSと同様の方式で平文パスワードを暗号化して比較する、という方式で実現してはどうでしょうか?SSOを実現する際に連携先のシステムで平文パスワードを保持していれば、技術的には可能です。
> > http://www.gs.sjts.co.jp/wbs/bulletin/bbs080.do?bbs010forumSid=3&threadSid=957> > 暗号化と復号化のおおまかな仕組みは理解できるのですが、> この記事を呼んだだけでは全くピンと来ないのが正直な感想です。。。> > ひとまず詳細を調べて分かるところまでチャレンジしてみようと思います。実は案外簡単に復号化できます。javaの初期値が分からず調べていったら別言語ですがCrypt::ECBでした。ここでGS開発担当の方に要望したいのは、インストール時に暗号化のキーとなるパスフレーズ定数部分をそのシステムにあわせて自動変更して欲しいということです。もしくは、非可逆性のパスワードシステムに変更して欲しい。DBを持ち出されると、記録してある全員の平文パスワードが手に入るので悩みます。こんな意味合いもありあまり書かない方が良い感じがしています。
TOP