簡析 Jenkins 專有用戶數據庫加密算法
認識Jenkins專有用戶數據庫java
Jenkins 訪問控制分爲:安全域(即認證)與受權策略。 其中,安全域能夠採用三種形式,分別爲:Jenkins 專有用戶數據庫、LDAP、Servlet 容器代理。算法
在哪裏看到加密後的用戶密碼信息? Jenkins 專有用戶的數據信息存放位置:JENKINS_HOME/users/$user/config.xml 在 config.xml 文件中的 passwordHash 節點能夠看到用戶密碼加密後的密文哈希值:數據庫
用戶密碼是用什麼算法加密的呢?安全
那麼問題來了,用戶密碼是用何種加密方式加密的呢?能否經過解密密文獲得明文呢? 在 GitHub 上查看其源碼,經過關鍵字 #jbcrypt 搜索定位到 HudsonPrivateSecurityRealm.java 這個文件。 HudsonPrivateSecurityRealm.java 具體路徑是:jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java 源碼片斷以下:bash
/**
* {@link PasswordEncoder} that uses jBCrypt.
*/
private static final PasswordEncoder JBCRYPT_ENCODER = new PasswordEncoder() {
public String encodePassword(String rawPass, Object _) throws DataAccessException {
return BCrypt.hashpw(rawPass,BCrypt.gensalt());
}
public boolean isPasswordValid(String encPass, String rawPass, Object _) throws DataAccessException {
return BCrypt.checkpw(rawPass,encPass);
}
};
/**
* Combines {@link #JBCRYPT_ENCODER} and {@link #CLASSIC} into one so that we can continue
* to accept {@link #CLASSIC} format but new encoding will always done via {@link #JBCRYPT_ENCODER}.
*/
public static final PasswordEncoder PASSWORD_ENCODER = new PasswordEncoder() {
/*
CLASSIC encoder outputs "salt:hash" where salt is [a-z]+, so we use unique prefix '#jbcyrpt" to designate JBCRYPT-format hash. '#' is neither in base64 nor hex, which makes it a good choice.
*/
public String encodePassword(String rawPass, Object salt) throws DataAccessException {
return JBCRYPT_HEADER+JBCRYPT_ENCODER.encodePassword(rawPass,salt);
}
public boolean isPasswordValid(String encPass, String rawPass, Object salt) throws DataAccessException {
if (encPass.startsWith(JBCRYPT_HEADER))
return JBCRYPT_ENCODER.isPasswordValid(encPass.substring(JBCRYPT_HEADER.length()),rawPass,salt);
else
return CLASSIC.isPasswordValid(encPass,rawPass,salt);
}
private static final String JBCRYPT_HEADER = "#jbcrypt:";
};
複製代碼
經過分析該源碼得知: 明文經過 jbcrypt 算法獲得密文 encPass 密文的格式爲:salt: encPass,其中以 #jbcrypt 表示 salt 做爲數據頭工具
jbcrypt 是什麼?ui
jbcrypt 是 bcrypt 加密工具的 java 實現。 它的 API 很是簡單,DEMO 以下,在 HudsonPrivateSecurityRealm.java 中能夠看到加密和校驗時使用了以下 API:加密
// Hash a password for the first time
String hashed = BCrypt.hashpw(password, BCrypt.gensalt());
// gensalt's log_rounds parameter determines the complexity the work factor is 2**log_rounds, and the default is 10 String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12)); // Check that an unencrypted password matches one that has previously been hashed if (BCrypt.checkpw(candidate, hashed)) System.out.println("It matches"); else System.out.println("It does not match"); 複製代碼
經驗證,用 jbcrypt 對同一個明文加密後由於 salt 通常不一樣,加密後的密文通常不一樣。spa
bcrypt 精要概況3d
bcrypt 是不可逆的加密算法,沒法經過解密密文獲得明文。 bcrypt 和其餘對稱或非對稱加密方式不一樣的是,不是直接解密獲得明文,也不是二次加密比較密文,而是把明文和存儲的密文一塊運算獲得另外一個密文,若是這兩個密文相同則驗證成功。
總結
綜上, Jenkins 專有用戶數據庫使用了 jbcrypt 加密, jbcrypt 加密是不可逆的,並且對於同一個明文的加密結果通常不一樣。
- 1. 認識Jenkins專有用戶數據庫
- 2. 3DES加密算法簡析
- 3. Tomcat JNDI 數據庫用戶名和密碼加密(數據庫鏈接池用戶和密碼加密)
- 4. 關於cryptopp加密庫RSA加密算法的簡單應用
- 5. 數據加密算法---base64
- 6. 數據加密算法
- 7. Scala版3des加密算法,用來實現對數據庫配置文件的用戶名密碼加密。
- 8. 現有的加密算法簡介
- 9. 國密算法SM4加密,數據加密存儲加密
- 10. DES加密算法原理簡析
- 更多相關文章...
- • NoSQL數據庫有哪些? - NoSQL教程
- • SQLite 附加數據庫 - SQLite教程
- • Flink 數據傳輸及反壓詳解
- • TiDB 在摩拜單車在線數據業務的應用和實踐
-
每一个你不满意的现在,都有一个你没有努力的曾经。