1. 概述
1.1 版本
报表服务器版本 |
|---|
| 11.0 |
1.2 应用场景
当管理员需要给外部用户分享报表,又期望确保报表不泄露。
此时可以设置一个数字签名和有效时长,通过URL和数字签名,用户可以在规定的有效期内查看报表。
没有数字签名或签名失效后,查看链接失效,确保安全。
1.3 功能简介
1)通过数字签名验证签名信息合法后,才允许访问模板,否则返回没有模板访问权限的报错。
2)访问 模板预览URL 时,需要在 URL 后添加后缀&fine_digital_signature=值
2. 开启数字签名认证
2.1 获取 fine_digital_signature 值
获取对应的数字签名密钥的 fine_digital_signature 值,这里以 GettingStarted.cpt 模板为例。
1)需要提前准备 Java 环境及 IDE 工具并创建一个 Java 文件,将%FR_HOME%\webapps\webroot\WEB-INF\lib下的多个JAR包导入新建的工程中,如下图所示:
需要导入的JAR包包括:fine-core-11.0.jar、fine-third-11.0.jar、fine-accumulator-11.0.jar、fine-cbb-11.0.jar
2)将代码复制到新建的文件中,修改需要进行数字签名的模板并自定义数字签名密钥。如下图所示:
注:path 的值为模板路径,相对路径,形如doc/xx.cpt;key 的值为数字签名密钥,这两个值会在本文 2.2 节平台设置中用到。
代码如下所示:
import com.fr.cert.token.JwtBuilder;
import com.fr.cert.token.Jwts;
import com.fr.cert.token.SignatureAlgorithm;
import java.util.Date;
public class test {
public static void main(String[] args) {
//数字签名有效时长(毫秒)
long validTime = 30 * 60 * 1000L;
//数字签名内容,以访问资源的相对路径作为内容
String path = "GettingStarted.cpt"; //修改为需要进行数字签名认证的模板路径,相对路径,例如doc/xx.cpt
String key = "123456"; //数字签名密钥,可以自定义
//生成fine_digital_signature
String fine_digital_signature = createJwt("", "", path, validTime, key);
//输出fine_digital_signature
System.out.println(fine_digital_signature);
}
private static String createJwt(String issuer, String id, String subject, long validTime, String key) {
//用于生成数字签名,即参数fine_digital_signature的值
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
Date currentTime = new Date();
Date expirationTime = new Date(currentTime.getTime() + validTime);
JwtBuilder builder = Jwts.builder()
.setIssuer(issuer)
.setSubject(subject)
.setIssuedAt(currentTime)
.setExpiration(expirationTime)
.setId(id)
.signWith(signatureAlgorithm, key);
return builder.compact();
}
}
3)运行 test 文件并获得数字签名密钥的fine_digital_signature值,如下图所示:
运行结果的值会在本文 2.3 节效果预览中用到。
2.2 平台设置
管理员登录数据决策系统,点击「管理系统>模板认证>数字签名密钥地址」中,输入密钥值,如下图所示:
2.3 效果预览
直接访问 模板预览URL ,本文示例链接为:http://localhost:8075/webroot/decision/view/report?viewlet=GettingStarted.cpt,提示没有权限,如下图所示:
在 URL 后面新增参数:&fine_digital_signature=值,「值」为本文 2.1 节运行 Java 文件得到的数据,即可正常查看模板。如下图所示:
3. 注意事项
3.1 远程设计预览模板无需验证数字签名
为了方便制作模板,设计器远程连接开启了数字签名认证的远程服务器,预览模板时无需验证数字签名。
1)远程设计,通过点击设计器上的预览按钮,预览模板效果时,无需验证数字签名,可直接预览模板。
2)退出远程设计时,设计器的模板预览 URL 将会失去直接预览的效果,必须验证数字签名,方可预览模板。
如下图所示:
3.2 屏蔽数字签名认证功能
超管希望对次级管理员开放模板认证功能,但不希望次级管理员使用「数字签名认证」。
超级管理员可通过「fine_conf_entity可视化配置插件」屏蔽数字签名认证功能。重启服务器后设置生效。
注:修改 FineDB 数据库表字段值的方法请参考 FineDB 常用表字段修改 。
| 配置项 | 修改规则 |
|---|---|
| TemplateAuthConfig.digitalAuthAvailable | 参数值如下,默认为true false:管理员无法使用模板认证-数字签名功能 true:管理员可使用模板认证-数字签名功能 |
修改配置项 TemplateAuthConfig.digitalAuthAvailable 的值为 false,重启服务器后,管理员点击「管理系统>模板认证>认证配置」,可以发现认证方式中的「数字签名认证」被屏蔽,无法设置。
注:在屏蔽「数字签名认证」之前,请勿设置认证方式为「数字签名认证」。否则屏蔽后认证仍然生效。
3.3 决策平台首页无法查看
问题描述&原因分析:
如果开启了模板认证:
1)用户在数据决策系统查看目录模板,无需额外经过模板认证
2)用户在数据决策系统查看首页模板,需要额外经过模板认证。
如果首页挂载了模板A,用户没有模板A的模板认证权限,那么用户就看不到该首页。提示「您没有该页面的访问权限」。
解决方案:
1)直接从模板认证中关闭对应模板的数字签名认证,再从首页的配置页面挂载对应模板即可。
2)利用首页的链接进行挂载,利用对应的URL+参数&fine_digital_signature=值即可。
其中的值为密钥生成的数字签名,而非密钥,获取方法见本文档2.1节
上一篇:角色权限认证
