修改confluence实现登录加密

已于 2024-02-26 17:28:58 修改
阅读量496 收藏 7
点赞数 4
分类专栏: java 文章标签: java js
于 2024-02-25 14:56:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlzyan/article/details/136281572
版权
本文讲述了如何在Confluence应用中解决弱密码问题,通过前端拦截并加密数据(使用RSA),以及后端接收并解密的步骤,详细描述了前端JS和后端Java的实现过程。
摘要由CSDN通过智能技术生成

这里写自定义目录标题

背景

有一个在用的confluence应用,被多次通报有使用弱密码。经查发现,登录时居然是明文传输账号密码。。。
明文传输。。。

解决问题

网上查了下文档,也翻了下登录页面的代码,没有发现有设置加密的地方。
官方没有,那尝试自己来改。

思路

前端提交数据前,拦截修改提交数据,将数据加密后传递。
后端收到数据后,先解密再执行原逻辑。

首先我反编译了后端代码,梳理了页面登录的流程。
然后去网上查了相关加密算法,决定使用rsa加密。
最后查询了js和java的rsa实现方法。

修改后结果如下:
修改后

大致步骤

前端修改内容

前端rsa的实现参考借鉴了,https://tool.ip138.com/rsa/

  • 引入js
    修改 com.atlassian.confluence_confluence-8.3.1.jar中的plugins/web-resources.xml文件,引入新的实现加密的js.
    当然也可以不修改这个文件把相关方法直接写入原来的login.js文件中
    在这里插入图片描述
    <web-resource key="login" name="Confluence Login" i18n-name-key="admin.web.resources.plugin.login.name">
        <transformation extension="js">
            <transformer key="jsI18n"/>
        </transformation>
        <resource type="download" name="login.js" location="/includes/js/login.js">
            <param name="source" value="webContextStatic"/>
        </resource>
        <resource type="download" name="rsa.js" location="/includes/js/jsencrypt.js">
            <param name="source" value="webContextStatic"/>
        </resource>
        <dependency>confluence.web.resources:ajs</dependency>
        <dependency>com.atlassian.auiplugin:template</dependency>
    </web-resource>
  • 修改登录页面js
    在登录前的校验逻辑后,添加了加密处理逻辑。
    我是修改了传递的id值。当然你也可以直接对原值中的账号密码进行加密。
       $loginForm.submit(function(e) {
            $loginButton.attr('enabled', 'false');
            var formIsValid = validate();
            if (!formIsValid) {
                $loginButton.attr('enabled', 'true');
            }
            formIsValid || e.preventDefault();
//以下是新加的rsa非对称加密逻辑
            if('function' == typeof(JSEncrypt)){
                let crypt = new JSEncrypt();
                crypt.setPublicKey("这里填公钥");
                $('#os_password')[0].name="data";
                $('#os_username').removeAttr("name");
                $('#os_password').val( crypt.encrypt("{\"os_username\":\""+$('#os_username').val()+"\",\"os_password\":\""+$('#os_password').val()+"\"}") || '')
            }
        });
后端修改内容

后端java解密rsa的逻辑,参考借鉴了这篇博文 https://blog.csdn.net/wanzijy/article/details/126092414
confluence登录时传递的信息是在com.atlassian.seraph_atlassian-seraph-4.1.0.jar包里的LoginFilter类中的PasswordBasedLoginFilter.UserPasswordPair方法中实现。
于是反编译代码,添加解密方法,再编译后替换原文件。

添加的代码如下:

 protected PasswordBasedLoginFilter.UserPasswordPair extractUserPasswordPair(HttpServletRequest request) {
        String data = request.getParameter("data");
        String username = request.getParameter("os_username");
        String password = request.getParameter("os_password");
//下面是新增的代码,解密并替换
        if(StringUtils.isNotEmpty(data)){
            data = decrypt(data);
            JSONObject jsonObject = new JSONObject(data) ;
            if(jsonObject.has("os_username")){
                username=jsonObject.get("os_username").toString();
            }
            if(jsonObject.has("os_password")){
                password=jsonObject.get("os_password").toString();
            }
        }
       ...
koko.1024
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
LDAP基础:8:ldap用户密码确认和修改
知行合一 止于至善
11-17 4万+
ldap用户密码修改可以使用ldappasswd命令,也可以使用万能的ldapmodify结合ldif文件来实现,但所修改的都是普通的用户,cn=admin的管理员用户修改一般可以通过slappasswd来进行,由于本系列使用了openldap的docker镜像,此项功能已被封装,通过设定环境变量即可轻易实现
JIRA+Confluence实现敏捷协同开发
09-22
本节课程将介绍JIRA及Confluence集成于敏捷项目中的应用实践。重点在Scrum计划会议、立会、反思及检讨会议如何透过JIRA及Confluence实现协同合作,进而帮助敏捷团队持续过程改进。
confluence重置admin密码
weixin_34248258的博客
07-15 638
    复方法: 1. 运行此sql 找到你的管理员帐户:   select u.id, u.user_name, u.active from cwd_user u   join cwd_membership m on u.id=m.child_user_id join cwd_group g on m.parent_id=g.id join cwd_directory...
Confluence 6 通过重置密码来获得管理员权限
HONEY MOOSE
03-29 3532
如果你不能作为管理员登录 Confluence (例如,你弄丢了你的管理员密码),你可以以恢复模式启动 Confluence 来恢复你的管理员用户权限。如果你知道你的管理员的用户名和电子邮件地址,你可以使用登录界面的忘记密码链接。系统将会发送一个重置邮件链接到你的管理员邮箱中,你可以用这个重置链接来恢复你的管理员密码。作为 Confluence 的管理员,你可能会发现你被 Confluence 禁...
Confluence 5 通过重置密码来获得管理员权限
HONEY MOOSE
03-29 1815
本页中的内容:在开始之前第一步:确定管理员第2步:替换管理员密码第3步:将内部目录放置为第一位第4步:清理如果你不能作为管理员登录 Confluence (例如,你弄丢了你的管理员密码),你可以以恢复模式启动 Confluence 来恢复你的管理员用户权限。如果你使用的是下面的方式,那么这个指南可能并不适用你:Confluence 被配置通过使用 Crowd 来 SSO。这个指南只覆盖了如何从 C...
confluence恢复密码以恢复管理员用户权限
winpal的博客
12-11 2562
https://confluence.atlassian.com/conf66/restore-passwords-to-recover-admin-user-rights-943962413.html 如果您无法以管理员身份登录Confluence(例如,您丢失了管理员密码),则可以以恢复模式启动Confluence以恢复您的管理员用户权限。 如果您知道管理员用户名,并且该用户名具有有效的电子邮...
Recover lost Confluence password
weixin_30596023的博客
04-01 656
confluence重置admin密码 复方法: 1. 运行此sql 找到你的管理员帐户: selectu.id,u.user_name,u.activefromcwd_useru joincwd_membershipmonu.id=m.child_user_idjoincwd_groupgonm.parent_id=g.idjoin...
confluence使用手册.docx
12-03
* 团队协作:Confluence 支持多用户协作,允许团队成员共同编辑和修改内容。 * 文档管理:Confluence 提供了一个强大的文档管理系统,允许用户创建、编辑和管理文档。 * 项目管理:Confluence 可以用于项目管理,...
confluence源码
02-20
本文将深入解析Confluence 6.12版本的源代码,揭示其核心设计与实现原理。 首先,Confluence的核心源代码包括了服务器端的业务逻辑、数据存储、用户界面(UI)以及各种插件接口。源码分析可以帮助我们理解...
confluence镜像
07-18
confluence的docker镜像
confluence插件tableenhancer
04-16
Confluence是一款强大的企业级知识管理和协作平台,由Atlassian公司开发。它允许用户创建、编辑和组织各种类型的内容,如页面、博客、文档等。在Confluence中,表格是一种常用的工具,用于展示数据和信息。然而,...
confluence忘记admin密码
Bruce小鬼
05-26 3705
confluence忘记admin密码 ##1.概述 confluence搭建好以后,创建了普通的用户,超管用户使用的次数就很少了。经过一段时间后,需要使用的admin账号时发现密码早已忘记,这个时候可以通过数据库操作重置密码。 2.重置admin密码 2.1.获取admin账户ID select u.id, u.user_name, u.active from cwd_user u join cwd_membership m on u.id=m.child_user_id join cwd_gro
【二次开发】Confluence 免登陆二次开发整理
我是Superman丶的博客
09-01 2125
ConfluenceConfluence 免登陆二次开发整理 可通过token 或者用户名进行免登陆 需要引入Confluence里的lib包 package com.xxx; import com.atlassian.confluence.user.ConfluenceAuthenticator; import com.atlassian.confluence.user.ConfluenceUser; import javax.servlet.http.HttpSe...
内网服务器安 mysql+confluence 部署以及破解
最新发布
weixin_47060347的博客
04-11 657
记录一下使用Vmware安装Ubuntu,并在其中搭建mysql 5.7.30 和 confluence 6.3.1,最后移植到ESXI中运行。
攻防实战之Confluence后利用
weixin_39251927的博客
11-16 1544
这边管理员密码是密文加密在数据库中,解不开,因此解决的思路是将管理员用户密码修改为已知明文密码的密文(这边不能直接在数据库中添加字段,关系型数据库在单表中添加一条字段可能会出现问题),登录上后台以后,添加用户并加入管理员组,最后将管理员密码还原。Confluence的后利用主要问题在于在Linux中搭建时,默认是Confluence用户权限,如下图所示,而confluence在linux中是没有写权限的,这也就是为什么有些人发现可以执行命令但是shell写不进去。至此admin的密码被改为了123123。
Confluence 6 编辑一个用户的详细信息
HONEY MOOSE
03-31 606
你可以查看和编辑 Confluence 用户的详细信息,包括他们的用户名,密码,电子邮件地址,组成员和可以访问 Confluence 的权限。编辑一个用户的详细信息选择  &gt; 用户管理可以进行下面的操作:选择 显示所有(Show all users) 来列出在 'confluence-users' or 'users' 组中的所有用户。在 查找用户 (Find User) 字段中输入一个用户...
Confluence 6 管理的用户修改用户
HONEY MOOSE
04-02 2716
作为一个 Confluence 的管理员,你可以修改用户用户名。对 Confluence 的管理员来说可能有很多种情况需要修改用户用户名,比如下面的这种情况:每一个系统中活动的用户必须有一个独一无二的用户名,因此 2 个激活的用户是不可能有相同的用户名的。但是你可以将一个 disabled user 用户用户名指派给一个激活的用户。如何对用户名进行修改与你如何对系统的用户进行配置有关,请查看...
怎么使用confluence官方api实现导入word到confluence
04-03
要使用Confluence官方API将Word导入到Confluence,您需要完成以下步骤: 1. 获取Confluence API访问令牌和密钥 首先,您需要在Confluence中生成API访问令牌和密钥。要执行此操作,请转到Confluence的设置页面,然后单击“应用程序”>“API令牌”。 2. 创建Confluence页面 接下来,您需要使用Confluence API创建一个新页面。要执行此操作,请使用POST请求调用以下API端点: ``` https://your-confluence-url/rest/api/content/ ``` 在请求正文中,您需要提供页面的标题,空间键和内容。例如: ``` { "type":"page", "title":"My New Page", "space":{"key":"MYSPACE"}, "body":{ "storage":{ "value":"<p>This is the content of my new page.</p>", "representation":"storage" } } } ``` 3. 将Word文档转换为HTML 接下来,您需要将Word文档转换为HTML格式。您可以使用任何适合您的库或工具来执行此操作。 4. 将HTML内容添加到Confluence页面 最后,在创建的Confluence页面中添加HTML内容。要执行此操作,请使用PUT请求调用以下API端点: ``` https://your-confluence-url/rest/api/content/{page_id}/version ``` 在请求正文中,您需要提供HTML内容。例如: ``` { "minorEdit":false, "content":{ "id":"{page_id}", "type":"page", "version":{ "number":2 }, "body":{ "storage":{ "value":"<p>This is the updated content of my page.</p>", "representation":"storage" } } } } ``` 请注意,您需要将{page_id}替换为先前创建的页面的ID。 这些步骤应该可以帮助您使用Confluence官方API将Word文档导入到Confluence中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值