RuoYi-Cloud 密码安全策略
项目地址: https://gitcode.com/yangzongzhuan/RuoYi-Cloud 概述
RuoYi-Cloud作为基于Spring Cloud Alibaba的分布式微服务架构权限管理系统,在密码安全方面采用了业界最佳实践。系统通过多重安全机制确保用户密码的安全性,包括强加密算法、密码策略配置、密码过期机制等,为企业级应用提供可靠的安全保障。
核心安全特性
1. 密码加密机制
RuoYi-Cloud采用BCrypt算法进行密码加密,这是目前最安全的密码哈希算法之一:
// SecurityUtils.java 中的密码加密实现
public static String encryptPassword(String password) {
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
return passwordEncoder.encode(password);
}
public static boolean matchesPassword(String rawPassword, String encodedPassword) {
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
return passwordEncoder.matches(rawPassword, encodedPassword);
}
BCrypt算法优势:
- 盐值(Salt)集成:每次加密生成不同的盐值,防止彩虹表攻击
- 自适应成本因子:支持调整计算复杂度,抵御暴力攻击
- 抗GPU攻击:内存密集型计算,难以通过GPU加速攻击
2. 密码策略配置
系统通过sys_config表提供灵活的密码策略配置:
| 配置项 | 配置键 | 默认值 | 说明 |
|---|---|---|---|
| 初始密码 | sys.user.initPassword | 123456 | 新用户初始密码 |
| 初始密码修改策略 | sys.account.initPasswordModify | 1 | 0:关闭提示,1:提醒修改初始密码 |
| 密码更新周期 | sys.account.passwordValidateDays | 0 | 密码有效期(天),0表示不限制 |
SQL配置示例:
INSERT INTO sys_config VALUES(2, '用户管理-账号初始密码', 'sys.user.initPassword', '123456', 'Y', 'admin', sysdate(), '', null, '初始化密码 123456');
INSERT INTO sys_config VALUES(6, '用户管理-初始密码修改策略', 'sys.account.initPasswordModify', '1', 'Y', 'admin', sysdate(), '', null, '0:初始密码修改策略关闭,1:提醒用户修改初始密码');
INSERT INTO sys_config VALUES(7, '用户管理-账号密码更新周期', 'sys.account.passwordValidateDays', '0', 'Y', 'admin', sysdate(), '', null, '密码更新周期(0不限制,>0表示有效期天数)');
3. 密码生命周期管理
系统记录密码最后更新时间,并支持密码过期提醒:
// 密码过期检查逻辑
public boolean passwordIsExpiration(Date pwdUpdateDate) {
Integer passwordValidateDays = Convert.toInt(configService.selectConfigByKey("sys.account.passwordValidateDays"));
if (passwordValidateDays != null && passwordValidateDays > 0) {
Date nowDate = DateUtils.getNowDate();
if (pwdUpdateDate == null) {
return true; // 从未修改过密码,视为过期
}
return DateUtils.differentDaysByMillisecond(nowDate, pwdUpdateDate) > passwordValidateDays;
}
return false;
}
4. 密码修改验证
系统在密码修改时进行多重验证:
// 修改密码时的验证逻辑
String password = loginUser.getSysUser().getPassword();
if (!SecurityUtils.matchesPassword(oldPassword, password)) {
return error("修改密码失败,旧密码错误");
}
if (SecurityUtils.matchesPassword(newPassword, password)) {
return error("新密码不能与旧密码相同");
}
安全最佳实践
1. 数据库表设计
用户表包含专门的密码字段和安全相关字段:
CREATE TABLE sys_user (
user_id BIGINT(20) NOT NULL AUTO_INCREMENT,
user_name VARCHAR(30) NOT NULL,
password VARCHAR(100) DEFAULT '' COMMENT '密码',
pwd_update_date DATETIME COMMENT '密码最后更新时间',
-- 其他字段...
PRIMARY KEY (user_id)
) ENGINE=INNODB COMMENT = '用户信息表';
2. 默认安全配置
系统初始化时创建安全的管理员账户:
INSERT INTO sys_user VALUES(
1, 103, 'admin', '若依', '00', 'ry@163.com', '15888888888', '1', '',
'$2a$10$7JB720yubVSZvUI0rEqK/.VqGOZTH.ulu33dHOiBE8ByOhJIrdAu2',
'0', '0', '127.0.0.1', sysdate(), sysdate(), 'admin', sysdate(), '', null, '管理员'
);
3. 密码策略实施流程
配置建议
1. 生产环境安全配置
-- 修改初始密码策略
UPDATE sys_config SET config_value = '0' WHERE config_key = 'sys.account.initPasswordModify';
-- 设置密码有效期(90天)
UPDATE sys_config SET config_value = '90' WHERE config_key = 'sys.account.passwordValidateDays';
-- 修改初始密码为随机生成
UPDATE sys_config SET config_value = 'R@nd0mP@ssw0rd!' WHERE config_key = 'sys.user.initPassword';
2. 密码复杂度要求
虽然系统未内置密码复杂度验证,建议在业务层添加:
// 密码复杂度验证示例
public boolean validatePasswordComplexity(String password) {
// 至少8位
if (password.length() < 8) return false;
// 包含大写字母
if (!password.matches(".*[A-Z].*")) return false;
// 包含小写字母
if (!password.matches(".*[a-z].*")) return false;
// 包含数字
if (!password.matches(".*\\d.*")) return false;
// 包含特殊字符
if (!password.matches(".*[!@#$%^&*()].*")) return false;
return true;
}
安全审计与监控
1. 密码修改日志
系统记录所有密码修改操作,便于安全审计:
- 操作日志记录密码重置操作
- 登录日志记录认证尝试
- 系统监控异常登录行为
2. 安全事件响应
总结
RuoYi-Cloud提供了完善的密码安全策略体系,包括:
- 强加密保障:采用BCrypt算法,抵御各种密码攻击
- 灵活策略配置:通过系统参数动态调整密码策略
- 生命周期管理:支持密码过期和强制修改机制
- 审计监控:完整的日志记录和安全事件响应
对于企业级应用,建议根据实际安全需求调整默认配置,并考虑添加额外的密码复杂度验证和多因素认证(MFA)机制,以进一步提升系统安全性。
通过合理配置和持续监控,RuoYi-Cloud能够为企业提供可靠的身份认证和密码安全管理解决方案。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
