NJet密码重置工具
1. 开发背景
NJet的API网关(API Gateway)提供了OpenAPI3.0 格式文档的导入,提供了用户角色及API授权关系的维护API,以及基于角色的API访问控制。用户通过API 网关提供的Restful 接口,可以在NJet实例上注册后端服务,并开启授权校验功能。后端服务不需要提供额外的登录及授权功能,由API 网关提供统一安全管控。
API网关系统中的agw_admin用户具有系统最高权限,掌控着其管理的所有数据的生杀大权。其密码一旦泄露,攻击者可肆意篡改、删除或窃取核心数据,甚至植入恶意代码导致服务瘫痪。agw_admin的密码如同保险柜的终极密码,建议采用高强度组合(如12位以上大小写字母+数字+符号),定期更换,并严格限制访问范围。任何疏忽都可能引发数据泄露、业务停摆等灾难性后果,是企业信息安全防线的最后堡垒。 NJet密码重置工具实现了对API网关中agw_admin用户密码的重置与更新。
2. 使用场景
在安装NJet时, NJet会为API网关的agw_admin用户随机生成一个密码。这保证了在不同的系统上,为agw_admin用户生成的初始密码各不相同。这个密码agw_admin用户最初是不知道的,在开始使用API网关之前,系统管理员必须对API网关的agw_admin密码进行重新设置。这样就避免了由于采用统一的初始密码带来的隐患。
NJet为更新API网关的agw_admin密码提供了一个工具agw_passwd,在编译安装njet时会同时安装。这个工具只能在数据库所在的机器上本地执行。其基本功能是重置数据库密码,可以由用户提供新密码,如果没有提供,则由系统随机产生新的密码串。以后,系统管理员也可以通过这个工具定期更新密码。
3. 具体使用
./agw_passwd
Usage: ./agw_passwd <database_path> [password]
这个程序需要两个参数,一个是数据库的路径,另一个是新的密码,如果没有提供新的密码,则会由系统随机生成一个。
./agw_passwd ~/api_gateway.db
Password hash updated successfully for user_id=1, password: GCcfkFWvnq2Y6hY4
Generated password: GCcfkFWvnq2Y6hY4
如果指定了新密码,则会将密码更新为新密码。
./agw_passwd ~/api_gateway.db my_new_db_password1
Password hash updated successfully for user_id=1, password: my_new_db_password1
Generated password: my_new_db_password1
后续根据需要,NJet还会开发出具有各种功能的工具,方便NJet的使用与维护。
4. 备注
- 该工具将在NJet发布的正式版本(NJet4.0)中发布,目前在njet的dynconf分支上可以试用。
- 工具的安装位置与njet相同,默认为/usr/local/njet/sbin目录下。
- 数据库的默认位置为 /usr/local/njet/apigw_data/api_gateway.db
NJet 应用引擎通过内核重构实现了独特的运行时动态配置加载能力,是新一代高性能 Web 应用引擎。NJet 拥有高性能数据面处理能力,将集群、高可用、主动健康检查、声明式 API 等多种辅助功能,通过 NJet 独特的副驾驶 CoPilot 服务框架调度,从而方便功能扩展,隔离管理 / 控制功能对数据面的影响,NJet 应用引擎性能超过 CNCF 推荐 Envoy 应用引擎的三倍。
