issues
search
qunarcorp
/
bistoury
Bistoury是去哪儿网的java应用生产问题诊断工具,提供了一站式的问题诊断方案
GNU General Public License v3.0
4.04k
stars
830
forks
source link
UI登录密码改采用更安全的加密策略及可通过-Dbistoury.ui.register_disabled=true来禁用帐号注册功能
#72
Open
qxo
opened
4 years ago
qxo
commented
4 years ago
旧实现密码采用AES加密存储,是可逆的,这是不合适的。现改为SPI方式,默认是采用spring-security推荐的Pbkdf2PasswordEncoder 修改SPI实现配置见:META-INF/services/org.springframework.security.crypto.password.PasswordEncoder
quick start方式默认应该禁用帐号注册功能,以避免无意识地引入的安全风险 同时为了安全建议quick start脚本启动前指定密码,ie:
-DBISTOURY_ADMIN_PWD=xxx
-DBISTOURY_ADMIN_PWD=xxx