nacos 二次开发 页面登录密码加密传输

已于 2024-01-16 16:28:05 修改
阅读量1.5k 收藏 16
点赞数 21
文章标签: java 中间件
于 2024-01-16 15:27:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43412564/article/details/135617450
版权

nacos 二次开发 页面登录密码加密传输

为什么要做页面登录密码加密

现在公司不定期进行漏洞扫描,其中漏洞包括前后端登录密码使用明文。nacos官方强烈推荐nacos在内网运行,所以在验证这块做的比较简单。
注意: nacos版本 2.3.0

如何去实现

重要: nacos启动后默认账户nacos的密码也是nacos,且无法配置。这就导致加密jar会将“nacos”进行加密,导致认证不通过,无法进入页面修改账户密码(通过白名单访问修改密码接口也一直不成功),所以会先将通过未加密jar启动,通过非加密进入系统,在页面进行密码修改成sha256处理之后的密码,然后再用加密jar替换非加密jar

我使用的是embed berdy数据库,有办法在加密jar情况下修改密码的请回复我

  1. 步骤1: 拉取nacos项目(国内镜像 https://gitee.com/mirrors/Nacos),修改配置文件开启权限、设置白名单,启动项目。
  2. 步骤2: 使用默认账号nacos(密码也是nacos)登录,修改密码(新密码填入的是 新密码经过SHA256哈希处理的值,而非新密码原文!新密码原文后期登录时使用)
  3. 步骤3:在另外目录拉取源码, IDEA中对页面键入的password进行SHA256哈希处理之后再发起XHR
  4. 步骤4:将新项目打包得到新的nacos-server.jar, 用他替换老jar包,启动nacos服务后密码会加密传输
步骤1 如何打包启动nacos(Windows为例)?

修改配置文件(location:E:\Nacos\distribution\conf\application.properties

### true开启鉴权
nacos.core.auth.enabled=true
### 设置白名单,并不是用户名,用户密码! 使用时在XHR请求头 authKey:nacosSecurity
nacos.core.auth.server.identity.key=authKey
nacos.core.auth.server.identity.value=nacosSecurity
### 使用随机生成的Base64串,要求32位以上.串生成网站https://base64.supfree.net
nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

修改启动文件,启动模式由cluster改为standalone

set MODE="standalone"

nacso主目录下打开Terminal窗口,执行mvn命令

mvn -Prelease-nacos -DskipTests clean install -U

点击运行 E:\Nacos\distribution\target\nacos-server-2.3.0\nacos\bin\startup.cmd

步骤2 如何修改默认账号nacos密码?
http://127.0.0.1:8848/nacos/#/login 进入登录页面

此处密码填入sha256加密过的字符串 SHA256转换
如: nacos” —sha256—> 569BF0AF7A7562F31BBE4795656B6BDF307F7752163ABC139157E3A3033B43FF
密码,确认密码,填入 569BF0AF7A7562F31BBE4795656B6BDF307F7752163ABC139157E3A3033B43FF
在这里插入图片描述
======== 下面在其他目录重新拉取nacos源码进行操作 ========

步骤3 如何对明文加密?

1: 修改对页面键入密码进行SHA256哈希处理,页面有三处会键入密码

  • 新增账户
  • 修改账户密码
  • 登录账户

在新的目录拉取 https://gitee.com/mirrors/Nacos源码进行操作

  1. 引入crypto库 , 在E:\Nacos0115\console-ui\目录下打开Terminal窗口,/输入安装crypto包指令

npm install crypto

  1. 代码修改

新增账户,修改账户password 加密处理,D:\Nacos\console-ui\src\reducers\authority.js

// 引入crypto库,在创建用户,重置密码代码处进行加密
const crypto = require('crypto');

function sha256Encrypt(password) {
  // 创建SHA256哈希对象
  const hash = crypto.createHash('sha256');
  // 将要哈希的数据作为流传递给哈希对象
  hash.update(password);
  // 获取哈希结果
  const hashValue = hash.digest('hex');
  return hashValue.toString();
}

// ...

/**
 * 创建用户
 * @param {*} param0
 */
const createUser = ([username, password]) => {
  password = sha256Encrypt(password);
  request.post('v1/auth/users', { username, password }).then(res => successMsg(res));
};

/**
 * 重置密码
 * @param {*} param0
 */
const passwordReset = ([username, newPassword]) => {
  newPassword = sha256Encrypt(newPassword);
  request.put('v1/auth/users', { username, newPassword }).then(res => successMsg(res));
};

登录账户,修改账户password 加密处理,D:\Nacos\console-ui\src\pages\Login\Login.jsx

// 添加crypto库
const crypto = require('crypto');
function sha256Encrypt(password) {
  // 创建SHA256哈希对象
  const hash = crypto.createHash('sha256');
  // 将要哈希的数据作为流传递给哈希对象
  hash.update(password);
  // 获取哈希结果
  const hashValue = hash.digest('hex');
  return hashValue.toString();
}
// ...
handleSubmit = () => {
    const { locale = {} } = this.props;
    this.field.validate((errors, values) => {
      if (errors) {
        return;
      }
      // 对密码进行SHA-256加密
      values.password = sha256Encrypt(values.password);
      login(values)
        .then(res => {
          localStorage.setItem('token', JSON.stringify(res));
          this.props.history.push('/');
        })
        .catch(() => {
          Message.error({
            content: locale.invalidUsernameOrPassword,
          });
        });
    });
  };
  1. 构建前端包

构建前端包 , 在E:\Nacos0115\console-ui\目录下打开Terminal窗口

npm install
// 输入构建指令,在\console-ui目录下生成dist目录
npm run build

npm run build执行时,由于高版本node下载低版本node的项目报错ssl
解决方法: 在package.json 脚本增加 SET NODE_OPTIONS=–openssl-legacy-provider

"scripts": {
    "start": "cross-env NODE_ENV=development webpack-dev-server --config build/webpack.dev.conf.js",
    "build": "SET NODE_OPTIONS=--openssl-legacy-provider && cross-env NODE_ENV=production webpack --config build/webpack.prod.conf.js && node build/copyFile.js",
    "eslint": "eslint --ext .js src/",
    "eslint-fix": "eslint  --ext .js --fix src/"
  },

将dist目录下文件覆盖D:\Nacos\console\src\main\resources\static\console-ui\public目录下文件.

  1. nacos项目整体打包
步骤4 如何替换成加密jar包,运行项目?

nacso主目录下打开Terminal窗口,执行mvn命令

mvn -Prelease-nacos -DskipTests clean install -U

关闭当前运行的nacos应用,使用加密的jar替换原项目的jar,在重新启动nacos
即:
D:\Nacos\distribution\target\nacos-server-2.3.0\nacos\target\nacos-server.jar 的jar去覆盖
E:\Nacos\distribution\target\nacos-server-2.3.0\nacos\target\nacos-server.jar

再次登录,可以看到密码nacos 会被加密成 32个字符串,并成功登录!
在这里插入图片描述
体重160
关注
  • 21
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
springBoot配置文件账号密码加密存储(springCloud nacos)_nacos配置文件配置账号密码(1)
2301_82243070的博客
04-12 1990
但一群人才能走的更远。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
Nacos的简单使用
xiaoyaGrace的博客
04-09 1964
一、Nacos简介 Nacos是阿里系开发的兼容Spring Cloud的服务注册中心组件,是微服务国产化的先驱。Nacos作为与Eureka的对比,不仅具有Eureka固有的集群化、注册中心等功能,还具有配置中心的功能,并且更加简单使用,拆箱即用,也支持二次开发。 并且在集成Spring Cloud大家族生态圈方面,原先经由Eureka开发的Feign、Ribbon、Zuul等程序,业务部分...
Nacos登录参数password进行sha256加密
zacharyjoke博客
09-08 1627
nacos安全加固
Nacos 设置账号密码登录
最新发布
羽茉的博客
05-22 1216
nacos2.3.2 设置账号密码登录
nacos 源码设计实现
07-16
服务发现与服务管理 在采用以“服务(Service)”为中心的诸如微服务及云原生方式的现代应用架构时,动态服务发现至关重要。 Nacos同时支持基于DNS和基于RPC(如Dubbo/gRPC)的服务发现,并为您提供服务的实时的健康检查以防止将请求发送给不健康的主机,基于Nacos您也可以更方便的实现服务断路器。Nacos提供的强大的服务的元数据管理,路由及流量管理策略也能够帮助您更好的构建更强壮的微服务平台。 动态配置管理 动态配置服务允许您在所有环境中以集中和动态的方式管理所有应用程序或服务的配置。动态配置消除了配置更新时重新部署应用程序和服务的需要。可以更方便的帮助您实现无状态服务,更轻松地实现按需弹性扩展服务实例。 动态DNS服务 支持权重路由的动态DNS服务使您可以更轻松地在数据中心内的生产环境中实施中间层负载平衡,灵活的路由策略,流量控制和简单的DNS解析服务,帮助您更容易的实现DNS-based服务发现。
Spring Cloud Alibaba系列(5)之:nacos源码本地环境搭建
weigeshikebi的博客
09-16 1047
nacos自带了一套简单的认证权限管理体系,在多数情况下已经够用了。
Nacos全面解析
qq_45443475的博客
08-29 1万+
Nacos全面解析
nacos怎么开启账号密码登录
weixin_42279822的博客
08-10 2万+
此外,Nacos 还提供了更多的安全设置和权限控制选项,例如基于角色的权限控制等。请注意,使用配置文件修改账号密码时,需要谨慎保管配置文件,避免泄露敏感信息。同时,确保新的用户名和密码足够安全,以保护你的 Nacos 服务。Nacos 默认是不启用账号密码登录的,但你可以通过修改配置来启用账号密码登录以增强安全性。请确保用户名和密码的安全性,避免使用弱密码,以保护你的 Nacos 服务。替换为你想要设置的新用户名,将。替换为你想要设置的用户名,将。替换为你想要设置的新密码。替换为你想要设置的密码
nacos1.1.4版本修改源码使用非对称加密算法RSA进行用户名和密码加密传输
04-04
内容概要:nacos1.1.4版本修改源码使用非对称加密算法RSA进行用户名和密码加密传输。 适用人群:需要适用nacos作为项目注册中心的相关人员、内网用户。 适用场景:linux或者windows系统,使用nacos作为注册中心,...
nacos2.0.4版本使用RSA算法加密之后的源码,可以直接使用。
04-05
下载nacos源码之后进行代码编写,修改了前端用户名和密码加密传输,后端使用RSA算法将收到的信息进行解码判断。内容包含源代码、打包之后的zip文件以及tar.gz文件,可以直接使用。 适用人群:项目使用nacos作为注册...
Nacos2.0.4 本地数据库连接进行ENC加密
07-12
Nacos2.0.4 本地数据库连接进行ENC加密
nacos-aes加密版使用
02-20
nacos-aes加密版使用
微服务开发工具nacos
12-15
启动命令 sh startup.sh -m standalone ...nacos.core.auth.enabled=...nacos.core.auth.plugin.nacos.token.secret.key=${NACOS_AUTH_TOKEN:SecretKey01234567890123456789012345345678999987654901234567890123456789}
Nacos配置中心】对配置文件内容进行加密
怪咖@的博客
09-11 1万+
加密主要是针对于配置文件当中的配置,存储到数据库的时候,加密成密文。然后Nacos展示出来的是明文。因为我们有时候会在配置文件存储很多敏感信息,例如数据库连接方式,或者第三方存储系统的相关信息。出于此考虑,`Nacos在2.1版本新发布了配置文件加密功能`,根本不需要我们自己来实现,很轻松的就能实现 配置内容AES加密 功能。
Nacos默认用户名和密码
热门推荐
域名转让:chinabeaut.com、unienv.com
11-29 3万+
nacos/nacos
如何修改nacos密码
liqinglonguo的博客
06-16 1万+
修改用户名和密码,将ry-config中的user表username替换成你需要的登录账户,password改成你需要的密码密码运行即可得到加密的密码。注意盐值是随机的,所以生成密码每次可能不一样,请不要担心。在页面上修改的前提是你已登录nacos控制台,左上角->nacos->修改密码。将下面的代码复制到项目中运行下就可以得到加密的密码。输入修改后的密码,点击确认即可修改.
docker部署最新版nacos(2.2.3)设置登录密码
有一种信仰叫海阔天空
09-19 8615
docker部署最新版nacos(2.2.3)设置登录密码
Nacos 中的配置文件如何实现加密传输
mxt51220的博客
11-21 3033
小伙伴们知道,Spring Cloud Config 很早就提供了配置文件的加解密功能,并且支持对称加密和非对称加密两种不同的模式。Nacos 作为分布式配置中心+服务注册中心的合体,在配置文件加密这块一直差点意思,不过好在,如果你使用的 Nacos 版本大于 2.0.4 这个版本,那么现在也可以通过插件的方式来实现配置文件加密了。
Nacos鉴权和配置加密
航仔的博客
07-19 4149
Nacos鉴权和配置加密
nacos修改密码加密方式
09-04
Nacos是一个开源的服务发现和配置管理平台,用于帮助开发人员实现微服务架构。Nacos支持对密码进行加密,以提高系统的安全性。 Nacos密码加密方式的修改可以通过修改Nacos的配置文件实现。具体步骤如下: 1. 打开Nacos的配置文件,通常位于Nacos安装目录的conf文件夹下,文件名为"nacos-config.txt"。 2. 在配置文件中找到nacos.security.encoding.key属性,该属性用于指定密码加密密钥。默认情况下,密钥为空。 3. 将nacos.security.encoding.key属性的值修改为一个随机的字符串作为密码加密密钥。可以使用类似UUID生成器的工具生成一个随机字符串。 4. 保存并关闭配置文件。 5. 重新启动Nacos服务,使配置文件的修改生效。 通过以上步骤,就成功地修改了Nacos密码加密方式。在进行用户密码校验时,Nacos会使用配置文件中设置的加密密钥对密码进行加密,提高了密码的安全性。 需要注意的是,修改密码加密方式后,已经使用旧加密方式加密的密码将无法解密。因此,在修改密码加密方式前,请确保已经备份了用户的密码或者通知用户修改密码。当用户登录时,Nacos会自动识别密码采用的加密方式,并使用相应的方式进行解密校验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值