Jenkins專有用戶數(shù)據(jù)庫加密算法簡析
Jenkins訪問控制分為:安全域(即認(rèn)證)與授權(quán)策略。
其中,安全域可以采用三種形式,分別為:Jenkins專有用戶數(shù)據(jù)庫、LDAP、Servlet容器代理。
Jenkins專有用戶的數(shù)據(jù)信息存放位置: <JENKINS_HOME> /users/
每個用戶的相關(guān)信息存放在config.xml文件中: <JENKINS_HOME>/users/ <user>/config.xml
在config.xml文件中 passwordHash節(jié)點(diǎn)可以看到用戶名加密后的密文哈希值
那么,它是用何種加密方式加密的呢?可否解密密文得到明文呢?
在 github上查看其源碼,通過關(guān)鍵字 #jbcrypt搜索定位到 HudsonPrivateSecurityRealm.java這個文件
HudsonPrivateSecurityRealm.java詳細(xì)路徑是:jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java
通過分析該源碼得知:
1、密文的格式為:salt: encPass,其中以#jbcrypt表示salt作為數(shù)據(jù)頭
2、明文通過jbcrypt算法得到密文 encPass
關(guān)于jbcrypt:
jbcrypt是bcrypt加密工具的java實(shí)現(xiàn)。
它的API非常簡單,DEMO如下,在HudsonPrivateSecurityRealm.java中可以看到加密和校驗(yàn)時使用了如下API:
- // Hash a password for the first time
- String hashed = BCrypt.hashpw(password, BCrypt.gensalt());
- // gensalt's log_rounds parameter determines the complexity the work factor is 2**log_rounds, and the default is 10
- String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));
- // Check that an unencrypted password matches one that has previously been hashed
- if (BCrypt.checkpw(candidate, hashed))
- System.out.println("It matches");
- else
- System.out.println("It does not match");
經(jīng)驗(yàn)證,用jbcrypt對同一個明文加密后因?yàn)閟alt一般不同,加密后的密文一般不同
關(guān)于bcrypt:
1、bcrypt是不可逆的加密算法,無法通過解密密文得到明文。
2、bcrypt和其他對稱或非對稱加密方式不同的是,不是直接解密得到明文,也不是二次加密比較密文,而是把明文和存儲的密文一塊運(yùn)算得到另一個密文,如果這兩個密文相同則驗(yàn)證成功。
綜上,Jenkins專有用戶數(shù)據(jù)庫使用了jbcrypt加密,jbcrypt加密是不可逆的,而且對于同一個明文的加密結(jié)果一般不同。
