简单权限之密码加密
1. 问题描述
在平台内置进行用户身份验证的时候,密码存在数据库(FineReport内置数据库finedb或者其他数据库)中,认证时用户输入的密码与数据库中密码相同则认证通过,若数据库被破解了则对系统造成威胁,怎样保证系统安全呢?
2. 解决方案
在进行手动添加用户的时候,使用密码加密功能。数据库中存的是密文,输入的密码需要进行加密才能和数据库中的密文进行匹配,加大破解难度,提高系统安全性。
3. 实现原理
3.1 设置方法
登录平台,点击管理系统>用户管理>设置开启同步数据集的时候,设置加密方式,如下图:
3.2 密码加密方式分类
密码加密功能分为不设置密码加密、自定义密码加密和内置MD5加密。
不设置密码加密和内置MD5加密:这两种加密方式已经封装了,直接勾选即可,其中MD5加密只支持32位;
自定义密码加密:需要将自定义的密码验证类(包含了加密方法)放在报表服务器如/WebReport/WEB-INF/classes下,勾选自定义密码加密,并指向自定义的密码验证类。具体可参考下方的权限之密码加密。
3.3 原理
若设置了加密规则,encodePassword方法中会先对用户输入密码进行加密转换,再与数据库密码匹配。
不设置密码加密:用户输入的密码与数据库中的密码一致,密码验证方法返回:return localPassword.equals(clientPassword);
内置MD5加密:用户输入的密码经过32位MD5加密,再和数据库中的密码进行匹配,密码验证方法返回:return localPassword.equals(MD5(clientPassword));
自定义密码加密:用户输入的密码经过自定义加密规则进行加密,再和数据库中的密码进行匹配,密码验证方法返回:return localPassword.equals(div(clientPassword));
自定义密码加密中,用户输入密码后提交,报表服务器会调用shouldIgnoreUsername()方法判断调用encodePassword(clientPassword)和encodePassword(String clientPassword, String clientUsername)中的哪一个密码验证方法,如果shouldIgnoreUsername()返回true(默认返回true),则调用encodePassword(clientPassword)方法,忽略用户名,如果返回false,则调用encodePassword(String clientPassword, String clientUsername),将用户名加入到密码加密中,然后再根据密码验证方法来判断数据库中密码和用户输入的匹配情况,相同返回true,否则返回false。
注:验证方法encodePassword中clientPassword为用户输入的密码,clientUsername为用户输入的用户名。
另:之前版本使用的方法为validatePassword,实现向下兼容。
4. 自定义密码加密示例
下面我们制作两个简单的自定义密码加密示例:
第一个实现忽略用户名的自定义密码加密,用户输入密码需要再加上"FR"才能与数据库的密码匹配;
第二个实现用户名和密码一起加密的自定义密码加密验证类,用户输入的用户名密码需要再在前面加上FR,后面加上RF才能与数据库的密码匹配。
4.1 自定义密码验证类
(1)自定义密码验证类之忽略用户名定义一个类,命名为TestPasswordValidator.java,扩展于AbstractPasswordEncode,重写其中带有2个参数的密码验证方法encodePassword,具体代码如下:
package com.fr.privilege;
import com.fr.privilege.providers.dao.AbstractPasswordEncode;
public class TestPasswordValidator extends AbstractPasswordEncode{
@Override
public int layerIndex() {
return DEFAULT_LAYER_INDEX;
}
@Override
public int currentAPILevel() {
return CURRENT_LEVEL;
}
public String encodePassword(String clientPassword) {
return (clientPassword+"FR");//即获取用户输入的密码然后在后面加上FR,再与数据库密码匹配。
}
}
注:由于shouldIgnoreUsername()方法默认返回true,即直接调用忽略用户名的encodePassword(String clinetPassword)方法,故可以无需将shouldIgnoreUsername()方法写进来。
将编译的TestPasswordValidator.class放在/WebReport/WEB-INF/classes/com/fr/privilege目录下。
(2)自定义密码验证类之不忽略用户名
定义一个类,命名为TestPasswordValidatorUser.java,扩展于AbstractPasswordEncode,使shouldIgnoreUsername()方法返回false,并重写其中带有2个参数的密码验证方法encodePassword,具体代码如下:
package com.fr.privilege;
import com.fr.privilege.providers.dao.AbstractPasswordEncode;
public class TestPasswordValidatorUser extends AbstractPasswordEncode {
/**
* 三个参数的密码加密算法:满足数据库密码=FR+用户名+密码+RF,返回true
* @param localPassword 存储在数据库中的密码
* @param clientPassword 用户输入的密码
* @param clientUsername 用户名
* @return 是否验证成功
*/
@Override
public int layerIndex() {
return DEFAULT_LAYER_INDEX;
}
@Override
public int currentAPILevel() {
return CURRENT_LEVEL;
}
public String encodePassword(String clientPassword, String clientUsername) {
return "FR" + clientUsername + clientPassword + "RF";
}
/**
* 验证密码时是否要忽略用户名
*/
public boolean shouldIgnoreUsername() {
return false;
}
@Override
public String encodePassword(String arg0) {
// TODO Auto-generated method stub
return null;
}
/**
* 2个参数的密码验证方法,直接return false
*/
}
将编译的TetPasswordValidatorUser.class放在/WebReport/WEB-INF/classes/com/fr/privilege目录下。
4.2 平台设置
第一种:自定义密码加密的文本框中输入的是com.fr.privilege.TestPasswordValidator,设置后,数据库密码如123FR,密码输入123时可以登录成功。
第二种:自定义密码加密的文本框中输入的是com.fr.privilege.TestPasswordValidatorUser,设置后,数据库密码如FRaaa123RF,那么用户输入aaa,密码输入123即可登录成功。
注:这边是举了一个最简单的例子,您可以根据自己的需求自己定义加密的方式。
附件列表
主题: 部署集成