简单权限之密码加密

顶( )

最后更新日期：

有人发表评论 (点击查看)

问题描述
解决方案
实现原理

设置方法
密码加密方式分类
原理

自定义密码加密示例

自定义密码验证类
平台设置

密码加密、MD5加密,解密，如何实现自定义密码加密，不设置密码加密，内置MD5加密，密码加密原理

1. 问题描述

在进行平台内置认证身份验证的时候，密码存在数据库(FineReport内置数据库finedb或者其他数据库)中，认证时用户输入的密码与数据库中密码相同则认证通过，若数据库被破解了则对系统造成威胁，怎样保证系统安全呢？

2. 解决方案

在进行用户导入的时候，使用密码加密功能。数据库中存的是密文，输入的密码需要进行加密才能和数据库中的密文进行匹配，加大破解难度，提高系统安全性。

3. 实现原理

3.1 设置方法

登录平台，点击>管理系统>用户管理>导入添加用户的时候，设置加密方式，如下图：

3.2 密码加密方式分类

密码加密功能分为不设置密码加密、自定义密码加密和内置MD5加密。

不设置密码加密和内置MD5加密：这两种加密方式已经封装了，直接勾选即可，其中MD5加密只支持32位；

自定义密码加密：需要将自定义的密码验证类（包含了加密方法）放在报表服务如/WebReport/WEB-INF/classes下，勾选自定义密码加密，并指向自定义的密码验证类。具体可参考下方的自定义密码加密示例。

3.3 原理

若设置了加密规则，encodePassword方法中会先对用户输入密码进行加密转换，再与数据库密码匹配。

不设置密码加密：用户输入的密码与数据库中的密码一致，密码验证方法返回：return localPassword.equals(clientPassword);

内置MD5加密：用户输入的密码经过32位MD5加密，再和数据库中的密码进行匹配，密码验证方法返回：return localPassword.equals(MD5(clientPassword));

自定义密码加密：用户输入的密码经过自定义加密规则进行加密，再和数据库中的密码进行匹配，密码验证方法返回：return localPassword.equals(div(clientPassword));

自定义密码加密中，用户输入密码后提交，报表服务器会调用shouldIgnoreUsername()方法判断调用encodePassword(clientPassword)和encodePassword(String clientPassword, String clientUsername)中的哪一个密码验证方法，如果shouldIgnoreUsername()返回true（默认返回true），则调用encodePassword(clientPassword)方法，忽略用户名，如果返回false，则调用encodePassword(String clientPassword, String clientUsername)，将用户名加入到密码加密中，然后再根据密码验证方法来判断数据库中密码和用户输入的匹配情况，相同返回true，否则返回false。

注：验证方法encodePassword中clientPassword为用户输入的密码，clientUsername为用户输入的用户名。

另：7.1版本之前使用的方法为validatePassword，实现向下兼容。

4. 自定义密码加密示例

下面我们制作两个简单的自定义密码加密示例，第一个实现忽略用户名的自定义密码加密，用户输入密码需要再加上"FR"才能与数据集库的密码匹配；第二个实现用户名和密码一起加密的自定义密码加密验证类，用户输入的用户名密码需要再在前面加上FR，后面加上RF才能与数据库的密码匹配。

4.1 自定义密码验证类

自定义密码验证类之忽略用户名

定义一个类，命名为TestPasswordValidator.java，扩展于AbstractPasswordEncode，重写其中带有2个参数的密码验证方法encodePassword，具体代码如下：

注：由于shouldIgnoreUsername()方法默认返回true，即直接调用忽略用户名的encodePassword(String clinetPassword)方法，故可以无需将shouldIgnoreUsername()方法写进来。

将编译的TestPasswordValidator.class放在/WebReport/WEB-INF/classes/com/fr/privilege目录下。

自定义密码验证类之不忽略用户名

定义一个类，命名为TestPasswordValidatorUser.java，扩展于AbstractPasswordEncode，使shouldIgnoreUsername()方法返回false，并重写其中带有2个参数的密码验证方法encodePassword，具体代码如下：

将编译的TestPasswordValidatorUser.class放在/WebReport/WEB-INF/classes/com/fr/privilege目录下。

4.2 平台设置

勾选自定义密码加密，在文本框中输入com.fr.privilege.providers.TestPasswordValidator，如下图所示：

设置后，数据库密码如123FR，用户输入123时可以登录成功。

如果在自定义密码加密的文本框中输入的是TestPasswordValidatorUser类，数据库密码如FRaaa123RF，那么用户输入aaa，密码输入123即可登录成功。

注：这边是举了一个最简单的例子，您可以根据自己的需求自己定义加密的方式。

文明发言，用心评论

		应用此篇文章，您: 不费力研究了一会琢磨了好久

查看全部条>>	<<只显示5条