Jenkins专有用户数据库加密算法简析

作者:Jenkins专有用户数据库加密算法更新于： 2015-11-05 09:52:51

大家用这个软件是非常频繁的。Jenkins访问控制分为：安全域（即认证）与授权策略。
其中，安全域可以采用三种形式，分别为：Jenkins专有用户数据库、LDAP、Servlet容器代理。

Jenkins专有用户的数据信息存放位置： /users/jenkins
每个用户的相关信息存放在config.xml文件中： /users/ /config.xml
在config.xml文件中 passWordHash节点可以看到用户名加密后的密文哈希值

 
Jenkins，之前叫做Hudson，是基于Java开发的一种持续集成工具，用于监控秩序重复的工作，包括：
1、持续的软件版本发布/测试项目。
2、监控外部调用执行的工作。katherine jenkins
那么，它是用何种加密方式加密的呢？可否解密密文得到明文呢？
在 github上查看其源码，通过关键字 #jbcrypt搜索定位到 HudsonPrivateSecurityRealm.Java这个文件
HudsonPrivateSecurityRealm.java详细路径是：jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java
通过分析该源码得知：
1、密文的格式为：salt: encPass，其中以#jbcrypt表示salt作为数据头
2、明文通过jbcrypt算法得到密文 encPass
关于jbcrypt： 
jbcrypt是bcrypt加密工具的java实现。jenkins
它的API非常简单，DEMO如下，在HudsonPrivateSecurityRealm.java中可以看到加密和校验时使用了如下API：

1. // Hash a password for the first time   
2. String hashed = BCrypt.hashpw(password, BCrypt.gensalt());   
3.  
4. // gensalt's log_rounds parameter determines the complexity the work factor is 2**log_rounds, and the default is 10   
5. String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));   
6.  
7. // Check that an unencrypted password matches one that has previously been hashed   
8. if (BCrypt.checkpw(candidate, hashed))   
9. System.out.println("It matches");   
10. else   
11. System.out.println("It does not match");   

经验证，用jbcrypt对同一个明文加密后因为salt一般不同，加密后的密文一般不同
关于bcrypt： 
1、bcrypt是不可逆的加密算法，无法通过解密密文得到明文。leeeeroy jenkins
2、bcrypt和其他对称或非对称加密方式不同的是，不是直接解密得到明文，也不是二次加密比较密文，而是把明文和存储的密文一块运算得到另一个密文，如果这两个密文相同则验证成功。
综上，Jenkins专有用户数据库使用了jbcrypt加密，jbcrypt加密是不可逆的，而且对于同一个明文的加密结果一般不同。
本文出自：课课家/希望大家可以多多运用它哦。