数字签名认证

1.1 版本

1.2 应用场景

没有进行 模板认证 时，只要登录数据决策系统，有模板权限的用户复制自己的模板预览 URL 给其他用户，其他用户即使目录里没有该模板权限，登录数据决策系统后也可以通过 URL 查看模板。数字签名认证则是在登录系统后即使有模板 URL ，没有数字签名就无法访问。

1.3 功能简介

• 通过数字签名密钥和对模板进行认证。访问模板时，需要在访问的 URL 请求中，携带有认证服务器认证通过的数字签名密钥，例如参数名为fine_digital_signature，URL 格式为：http://locaihost:37799/webroot/decision/v5/design/report/4fc4bc9c2a4a4083b5f4a5d8d632ccae/view?fine_digital_signature=值

• 通过数字签名的方式来验证访问的模板请求，FineBI 通过数字签名验证签名信息合法才允许访问模板，否则返回没有权限。

注：若开启数字签名认证，用户使用 URL 访问模板时，需要先登录数据决策系统。

2.1 获取 fine_digital_signature 值

获取对应的数字签名密钥的fine_digital_signature值，这里以公司综合运营管理驾驶舱模板（模板 id 为4fc4bc9c2a4a4083b5f4a5d8d632ccae）为例：

import com.fr.cert.token.JwtBuilder;
import com.fr.cert.token.Jwts;
import com.fr.cert.token.SignatureAlgorithm;
import java.util.Date;
public class Test2 {
    public static void main(String[] args) {
        //数字签名有效时长 
        long validTime = 30 * 60 * 1000;
        //数字签名内容，以访问资源的相对路径作为内容 
        String path = "4fc4bc9c2a4a4083b5f4a5d8d632ccae";
        String key = "abc"; //数字签名密钥，可以自定义
        //生成fine_digital_signature
        String fine_digital_signature = createJwt("", "", path, validTime, key);
        //输出fine_digital_signature
        System.out.println(fine_digital_signature);
    }
    private static String createJwt(String issuer, String id, String subject, long validTime, String key) {
        //用于生成数字签名，即参数fine_digital_signature的值
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        Date currentTime = new Date();
        Date expirationTime = new Date(currentTime.getTime() + validTime);
        JwtBuilder builder = Jwts.builder()
                .setIssuer(issuer)
                .setSubject(subject)
                .setIssuedAt(currentTime)
                .setExpiration(expirationTime)
                .setId(id)
                .signWith(signatureAlgorithm, key);
        return builder.compact();
    }

1）需要提前准备 Java 环境及 IDE 工具并创建一个 Class 文件，将上述代码复制至创建的文件中，修改需要进行数字签名的模板并自定义数字签名密钥，如下图所示：

2）将%FineBI%/webapps/webroot/WEB-INF/lib下的所有 JAR 包导入新建的工程中，如下动图：

3）运行 Test2 文件并获得数字签名密钥的fine_digital_signature值，如下图所示：

2.2 平台设置

管理员登录FineBI系统，点击「管理系统>模板认证>认证配置」，选择认证方式为「数字签名认证」，设置数字签名密钥，如下图所示：

2.3 效果查看

直接访问：http://localhost:37799/webroot/decision/v5/design/report/4fc4bc9c2a4a4083b5f4a5d8d632ccae/view，

登录平台后提示没有权限，如下图所示：

在 URL 后面新增参数：?fine_digital_signature=值，如http://localhost:37799/webroot/decision/v5/design/report/4fc4bc9c2a4a4083b5f4a5d8d632ccae/view?fine_digital_signature=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiI0ZmM0YmM5YzJhNGE0MDgzYjVmNGE1ZDhkNjMyY2NhZSIsImlhdCI6MTU3MTk5MTM2OCwiZXhwIjoxNTcxOTkzMTY4LCJqdGkiOiIifQ.uPwNMzPaqeS228zsSjOH6xhPw8D8pdG1ugdUi3ThEmw

登录平台后正常查看模板。如下图所示：

超管希望对次级管理员开放模板认证功能，但不希望次级管理员使用「数字签名认证」。

超级管理员可通过「fine_conf_entity可视化配置插件」屏蔽数字签名认证功能。重启服务器后设置生效。

注：修改 FineDB 数据库表字段值的方法请参考 FineDB 常用表字段修改 。

修改配置项 TemplateAuthConfig.digitalAuthAvailable 的值为 false。

重启服务器后，管理员点击「管理系统>模板认证>认证配置」，可以发现认证方式中的「数字签名认证」被屏蔽，无法设置。

注：在屏蔽「数字签名认证」之前，请勿设置认证方式为「数字签名认证」。否则屏蔽后认证仍然生效。