通过 _users 数据库管理 Cloudant 访问
Managing Cloudant access through _users database
我已经创建了 _users 数据库和 _security 文档,并根据 https://cloudant.com/for-developers/faq/auth/ 适当地设置了安全性。
然后我创建了一个角色为“_reader”的用户 "test",但是当我尝试登录 Cloudant 时它无法识别该用户。
_users 数据库包含一个文档:
{
"_id": "test",
"_rev": "1-96973497bc9c89989c4beed02e3f0b96",
"name": "test",
"roles": [
"_reader"
],
"type": "user",
"password": "password"
}
然后我尝试使用上面创建的用户名 "test" 和密码 "password" 查看设计文档,但是没有成功。
在设计文档所在数据库的安全文档中我有:
{ "couchdb_auth_only": true, "members": { "names": [ "test" ], "roles": [ "_reader" ] } }
有什么建议吗?
谢谢!
我还没有用Cloudant测试过这个,我还没有用密码学专家验证过这种方法的安全性(请这样做),但希望它能为您指明正确的方向:
首先你需要生成一个盐和一个password_sha:
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.Random;
public class CouchPassword {
public static void main(String[] args) throws NoSuchAlgorithmException {
String password = "123456"; // your password
String salt = genSalt();
password = password + salt;
MessageDigest md = MessageDigest.getInstance("SHA1");
md.update(password.getBytes());
byte byteData[] = md.digest();
System.out.println("Password SHA: " + byteToHexString(byteData) );
System.out.println("Generated Salt: " + salt);
}
public static String genSalt() {
Random ranGen = new SecureRandom();
byte[] salt = new byte[16];
ranGen.nextBytes(salt);
return byteToHexString(salt);
}
public static String byteToHexString(byte[] b) {
StringBuffer sb = new StringBuffer();
for (int i = 0; i < b.length; i++) {
sb.append(Integer.toString((b[i] & 0xff) + 0x100, 16).substring(1));
}
return sb.toString();
}
}
// There are libraries to help with generating SHAs and Hex Strings
// but I have choosen not to use those here so the answer is more standalone.
将上面的密码字符串设置为需要的值,然后执行。例如
Password SHA: 316ccb0df3c8bbd8f568347827803682d2c93849
Generated Salt: bba45713ef54016c8ef4b56b6b147936
创建 _user 和 _security 文档(选项 1):
// _user
{
"_id" : "org.couchdb.user:joe",
"type" : "user",
"name" : "joe",
"roles" : ["standarduser"],
"password_sha" : "316ccb0df3c8bbd8f568347827803682d2c93849",
"salt" : "bba45713ef54016c8ef4b56b6b147936"
}
_users 文档中的角色映射到 _security 文档中定义的角色。
// _security
{
"couchdb_auth_only": true,
"members": {
"names": [],
"roles": ["standarduser"]
},
"admins": {}
}
数据库成员 - 按数据库定义。他们可以从数据库中读取所有类型的文档,并且可以将文档写入(和编辑)数据库,但设计文档除外。
数据库管理员 - 按数据库定义。他们拥有成员拥有的所有特权以及特权:编写(和编辑)设计文档、add/remove 数据库管理员和成员、设置数据库修订限制(/somedb/_revs_limit API)和执行临时视图针对数据库 (/somedb/_temp_view API)。他们不能创建数据库,也不能删除数据库。
在我的示例中,我的用户 joe 被赋予角色 standarduser,该角色映射到数据库的 数据库成员 。
创建 _user 和 _security 文档(选项 2):
请注意,我可以指定 member.names:
而不是使用 roles
// _user document
{
"_id" : "org.couchdb.user:joe",
"type" : "user",
"name" : "joe",
"password_sha" : "316ccb0df3c8bbd8f568347827803682d2c93849",
"salt" : "bba45713ef54016c8ef4b56b6b147936"
}
// _security document
{
"couchdb_auth_only": true,
"members": {
"names": ["joe"],
"roles": []
},
"admins": {}
}
警告
确保 member.names 和 member.roles 参数都不为空,因为这将授予所有人读写权限:
{
"couchdb_auth_only": true,
"members": {
"names": [],
"roles": []
},
"admins": {}
}
Having no members, any user can write regular documents (any non-design document) and read documents from the database.
Source: http://wiki.apache.org/couchdb/Security_Features_Overview
Julie-- 在 Apache CouchDB 中,您目前必须使用验证功能来启用只读访问。 (没有 "turn-key" 用户角色可以满足您的需求。)
特别是,我发现这个帖子很有帮助:
它链接到关于验证函数的官方 CouchDB 书籍部分:http://guide.couchdb.org/draft/validation.html 以及 JavaScript 示例和解释:
https://github.com/iriscouch/manage_couchdb/blob/master/js/validate_doc_update.js
https://github.com/iriscouch/manage_couchdb#an-easy-validation-function
在 Cloudant 中,只读访问使用 API 键更简单一些,但您仍然可以使用开箱即用的 CouchDB 实现只读访问。它并不像您预期的那样交钥匙。祝你好运!
我已经创建了 _users 数据库和 _security 文档,并根据 https://cloudant.com/for-developers/faq/auth/ 适当地设置了安全性。
然后我创建了一个角色为“_reader”的用户 "test",但是当我尝试登录 Cloudant 时它无法识别该用户。
_users 数据库包含一个文档:
{
"_id": "test",
"_rev": "1-96973497bc9c89989c4beed02e3f0b96",
"name": "test",
"roles": [
"_reader"
],
"type": "user",
"password": "password"
}
然后我尝试使用上面创建的用户名 "test" 和密码 "password" 查看设计文档,但是没有成功。
在设计文档所在数据库的安全文档中我有:
{ "couchdb_auth_only": true, "members": { "names": [ "test" ], "roles": [ "_reader" ] } }
有什么建议吗?
谢谢!
我还没有用Cloudant测试过这个,我还没有用密码学专家验证过这种方法的安全性(请这样做),但希望它能为您指明正确的方向:
首先你需要生成一个盐和一个password_sha:
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.Random;
public class CouchPassword {
public static void main(String[] args) throws NoSuchAlgorithmException {
String password = "123456"; // your password
String salt = genSalt();
password = password + salt;
MessageDigest md = MessageDigest.getInstance("SHA1");
md.update(password.getBytes());
byte byteData[] = md.digest();
System.out.println("Password SHA: " + byteToHexString(byteData) );
System.out.println("Generated Salt: " + salt);
}
public static String genSalt() {
Random ranGen = new SecureRandom();
byte[] salt = new byte[16];
ranGen.nextBytes(salt);
return byteToHexString(salt);
}
public static String byteToHexString(byte[] b) {
StringBuffer sb = new StringBuffer();
for (int i = 0; i < b.length; i++) {
sb.append(Integer.toString((b[i] & 0xff) + 0x100, 16).substring(1));
}
return sb.toString();
}
}
// There are libraries to help with generating SHAs and Hex Strings
// but I have choosen not to use those here so the answer is more standalone.
将上面的密码字符串设置为需要的值,然后执行。例如
Password SHA: 316ccb0df3c8bbd8f568347827803682d2c93849
Generated Salt: bba45713ef54016c8ef4b56b6b147936
创建 _user 和 _security 文档(选项 1):
// _user
{
"_id" : "org.couchdb.user:joe",
"type" : "user",
"name" : "joe",
"roles" : ["standarduser"],
"password_sha" : "316ccb0df3c8bbd8f568347827803682d2c93849",
"salt" : "bba45713ef54016c8ef4b56b6b147936"
}
_users 文档中的角色映射到 _security 文档中定义的角色。
// _security
{
"couchdb_auth_only": true,
"members": {
"names": [],
"roles": ["standarduser"]
},
"admins": {}
}
数据库成员 - 按数据库定义。他们可以从数据库中读取所有类型的文档,并且可以将文档写入(和编辑)数据库,但设计文档除外。
数据库管理员 - 按数据库定义。他们拥有成员拥有的所有特权以及特权:编写(和编辑)设计文档、add/remove 数据库管理员和成员、设置数据库修订限制(/somedb/_revs_limit API)和执行临时视图针对数据库 (/somedb/_temp_view API)。他们不能创建数据库,也不能删除数据库。
在我的示例中,我的用户 joe 被赋予角色 standarduser,该角色映射到数据库的 数据库成员 。
创建 _user 和 _security 文档(选项 2):
请注意,我可以指定 member.names:
roles
// _user document
{
"_id" : "org.couchdb.user:joe",
"type" : "user",
"name" : "joe",
"password_sha" : "316ccb0df3c8bbd8f568347827803682d2c93849",
"salt" : "bba45713ef54016c8ef4b56b6b147936"
}
// _security document
{
"couchdb_auth_only": true,
"members": {
"names": ["joe"],
"roles": []
},
"admins": {}
}
警告
确保 member.names 和 member.roles 参数都不为空,因为这将授予所有人读写权限:
{
"couchdb_auth_only": true,
"members": {
"names": [],
"roles": []
},
"admins": {}
}
Having no members, any user can write regular documents (any non-design document) and read documents from the database.
Source: http://wiki.apache.org/couchdb/Security_Features_Overview
Julie-- 在 Apache CouchDB 中,您目前必须使用验证功能来启用只读访问。 (没有 "turn-key" 用户角色可以满足您的需求。)
特别是,我发现这个帖子很有帮助:
它链接到关于验证函数的官方 CouchDB 书籍部分:http://guide.couchdb.org/draft/validation.html 以及 JavaScript 示例和解释: https://github.com/iriscouch/manage_couchdb/blob/master/js/validate_doc_update.js https://github.com/iriscouch/manage_couchdb#an-easy-validation-function
在 Cloudant 中,只读访问使用 API 键更简单一些,但您仍然可以使用开箱即用的 CouchDB 实现只读访问。它并不像您预期的那样交钥匙。祝你好运!