FUXA项目中的安全设置与Token有效期问题解析
项目地址: https://gitcode.com/gh_mirrors/fu/FUXA 引言
在工业自动化领域,SCADA/HMI系统的安全性至关重要。FUXA作为一款基于Web的工业过程可视化软件,其安全机制直接关系到生产系统的稳定运行。本文将深入解析FUXA项目中的安全设置体系,特别是Token有效期管理机制,帮助开发者更好地理解和配置系统的安全策略。
FUXA安全架构概述
FUXA采用基于JWT(JSON Web Token)的身份认证机制,结合角色权限管理,构建了多层次的安全防护体系。整个安全架构包含以下几个核心组件:
Token有效期配置详解
核心配置参数
FUXA的Token有效期管理主要通过三个关键参数进行配置:
| 参数名称 | 默认值 | 说明 | 可选值 |
|---|---|---|---|
secureEnabled | false | 是否启用安全认证 | true/false |
secretCode | frangoteam751 | Token加密密钥 | 自定义字符串 |
tokenExpiresIn | 1h | Token过期时间 | 15m, 1h, 3h, 1d, 秒数 |
配置文件位置
安全配置主要位于以下文件中:
- 服务器默认配置:
server/settings.default.js - 用户自定义配置:
server/_appdata/settings.js(运行时生成) - JWT处理核心:
server/api/jwt-helper.js
Token有效期格式解析
FUXA支持多种时间格式的Token有效期设置:
// 时间字符串格式
tokenExpiresIn: '15m' // 15分钟
tokenExpiresIn: '1h' // 1小时
tokenExpiresIn: '3h' // 3小时
tokenExpiresIn: '1d' // 1天
// 秒数格式
tokenExpiresIn: 900 // 900秒(15分钟)
tokenExpiresIn: 3600 // 3600秒(1小时)
Token生成与验证机制
Token生成过程
function getNewToken(headers) {
const authUser = (headers['x-auth-user']) ?
JSON.parse(headers['x-auth-user']) : null;
if (authUser) {
return jwt.sign({
id: authUser.user,
groups: authUser.groups
},
secretCode, {
expiresIn: tokenExpiresIn // 使用配置的有效期
});
}
return null;
}
Token验证流程
客户端Token管理
认证拦截器实现
FUXA客户端使用Angular的HTTP拦截器自动管理Token:
// client/src/app/_helpers/auth-interceptor.ts
const TOKEN_HEADER_KEY = 'x-access-token';
const USER_HEADER_KEY = 'x-auth-user';
intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
const authService = this.injector.get(AuthService);
if (authService.getUserToken) {
const token = authService.getUserToken();
if (token != null) {
const user = authService.getUser();
req = req.clone({
headers: req.headers.set(USER_HEADER_KEY, JSON.stringify(user))
});
req = req.clone({
headers: req.headers.set(TOKEN_HEADER_KEY, token)
});
}
}
return next.handle(req);
}
Token存储与刷新
// client/src/app/_services/auth.service.ts
private saveUserToken(user: UserProfile) {
localStorage.setItem('currentUser', JSON.stringify(user));
}
setNewToken(token: string) {
this.currentUser.token = token;
this.saveUserToken(this.currentUser);
}
安全设置最佳实践
生产环境配置建议
// server/_appdata/settings.js 推荐配置
module.exports = {
secureEnabled: true,
secretCode: 'your-custom-secure-key-here', // 自定义强密钥
tokenExpiresIn: '1h', // 1小时有效期
allowedOrigins: [
"https://your-domain.com",
"https://dashboard.your-domain.com"
]
};
不同场景的Token策略
| 场景类型 | 推荐有效期 | 安全考虑 |
|---|---|---|
| 开发环境 | 3h或1d | 方便调试,降低频繁登录 |
| 测试环境 | 1h | 平衡安全性和便利性 |
| 生产环境 | 15m或1h | 高安全性,防止Token盗用 |
| 内部网络 | 3h | 相对安全,提高用户体验 |
常见问题与解决方案
问题1:Token过期后用户体验差
症状: 用户操作过程中突然被登出,数据丢失。
解决方案:
// 实现Token自动刷新机制
refreshToken() {
return this.http.post(this.endPointConfig + '/api/refresh', {})
.pipe(
catchError(error => {
// Token刷新失败,引导用户重新登录
this.signOut();
return throwError(error);
})
);
}
问题2:多设备同时登录
症状: 同一账户在不同设备登录,Token管理混乱。
解决方案: 在服务器端维护Token黑名单或使用Redis存储活跃Token。
问题3:密钥安全性
症状: 默认密钥frangoteam751存在安全风险。
解决方案:
- 生产环境必须修改
secretCode - 使用环境变量管理密钥
- 定期轮换密钥
高级安全特性
基于角色的访问控制
FUXA支持细粒度的权限管理:
// 权限检查函数
checkPermission(context, forceUndefined = false): { show: boolean, enabled: boolean } {
const userPermission = this.currentUser?.groups;
const settings = this.settings.getSettings();
// 管理员权限
if (userPermission === -1 || userPermission === 255) {
return { show: true, enabled: true };
}
// 基于角色的权限检查
if (settings.userRole) {
// 角色权限逻辑
} else {
// 位掩码权限逻辑
}
}
CORS安全配置
// 安全的CORS配置
"allowedOrigins": [
"https://your-production-domain.com",
"https://dashboard.your-domain.com"
// 避免使用通配符*
]
性能与安全平衡
Token有效期权衡
推荐策略
- 敏感操作: 使用短有效期(15-30分钟)
- 常规操作: 中等有效期(1-2小时)
- 只读访问: 较长有效期(4-8小时)
- 结合刷新Token机制实现最佳平衡
总结
FUXA项目的安全设置与Token有效期管理是一个需要仔细权衡的系统工程。通过合理配置tokenExpiresIn参数、使用强密钥、实施适当的CORS策略,可以在保证系统安全的同时提供良好的用户体验。建议根据实际应用场景选择合适的安全策略,并定期进行安全审计和密钥轮换。
记住,安全是一个持续的过程,而不是一次性的配置。定期审查和更新安全设置是确保FUXA系统长期安全运行的关键。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
