Jenkins访问控制分为:安全域(即认证)与授权策略。
其中,安全域可以采用三种形式,分别为:Jenkins专有用户数据库、LDAP、Servlet容器代理。
Jenkins专有用户的数据信息存放位置:
<JENKINS_HOME>
/users/
每个用户的相关信息存放在config.xml文件中:
<JENKINS_HOME>/users/
<user>/config.xml
在config.xml文件中
passwordHash节点可以看到用户名加密后的密文哈希值
那么,它是用何种加密方式加密的呢?可否解密密文得到明文呢?
HudsonPrivateSecurityRealm.java详细路径是:jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java
通过分析该源码得知:
1、密文的格式为:salt:
encPass,其中以#jbcrypt表示salt作为数据头
2、明文通过jbcrypt算法得到密文
encPass
关于jbcrypt:
它的API非常简单,DEMO如下,在HudsonPrivateSecurityRealm.java中可以看到加密和校验时使用了如下API:
// Hash a password for the first time
String hashed = BCrypt.hashpw(password, BCrypt.gensalt());
// gensalt‘s log_rounds parameter determines the complexity the work factor is 2**log_rounds, and the default is 10
String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));
// Check that an unencrypted password matches one that has previously been hashed
if (BCrypt.checkpw(candidate, hashed))
System.out.println("It matches");
else
System.out.println("It does not match");
经验证,用jbcrypt对同一个明文加密后因为salt一般不同,加密后的密文一般不同
关于bcrypt:
1、bcrypt是不可逆的加密算法,无法通过解密密文得到明文。
2、bcrypt和其他对称或非对称加密方式不同的是,不是直接解密得到明文,也不是二次加密比较密文,而是把明文和存储的密文一块运算得到另一个密文,如果这两个密文相同则验证成功。
综上,Jenkins专有用户数据库使用了jbcrypt加密,jbcrypt加密是不可逆的,而且对于同一个明文的加密结果一般不同。