<span id="OSC_h1_1"></span> 

1. 开发背景

NJet的API网关（API Gateway）提供了OpenAPI3.0 格式文档的导入，提供了用户角色及API授权关系的维护API，以及基于角色的API访问控制。用户通过API 网关提供的Restful 接口，可以在NJet实例上注册后端服务，并开启授权校验功能。后端服务不需要提供额外的登录及授权功能，由API 网关提供统一安全管控。

API网关系统中的agw_admin用户具有系统最高权限，掌控着其管理的所有数据的生杀大权。其密码一旦泄露，攻击者可肆意篡改、删除或窃取核心数据，甚至植入恶意代码导致服务瘫痪。agw_admin的密码如同保险柜的终极密码，建议采用高强度组合（如12位以上大小写字母+数字+符号），定期更换，并严格限制访问范围。任何疏忽都可能引发数据泄露、业务停摆等灾难性后果，是企业信息安全防线的最后堡垒。 NJet密码重置工具实现了对API网关中agw_admin用户密码的重置与更新。

2. 使用场景

在安装NJet时， NJet会为API网关的agw_admin用户随机生成一个密码。这保证了在不同的系统上，为agw_admin用户生成的初始密码各不相同。这个密码agw_admin用户最初是不知道的，在开始使用API网关之前，系统管理员必须对API网关的agw_admin密码进行重新设置。这样就避免了由于采用统一的初始密码带来的隐患。

NJet为更新API网关的agw_admin密码提供了一个工具agw_passwd，在编译安装njet时会同时安装。这个工具只能在数据库所在的机器上本地执行。其基本功能是重置数据库密码，可以由用户提供新密码，如果没有提供，则由系统随机产生新的密码串。以后，系统管理员也可以通过这个工具定期更新密码。

3. 具体使用

./agw_passwd                                                                                           
Usage: ./agw_passwd <database_path> [password]

这个程序需要两个参数，一个是数据库的路径，另一个是新的密码，如果没有提供新的密码，则会由系统随机生成一个。

./agw_passwd ~/api_gateway.db                                                                          
Password hash updated successfully for user_id=1, password: GCcfkFWvnq2Y6hY4                             
Generated password: GCcfkFWvnq2Y6hY4

如果指定了新密码，则会将密码更新为新密码。

./agw_passwd ~/api_gateway.db my_new_db_password1                                                     
Password hash updated successfully for user_id=1, password: my_new_db_password1                          
Generated password: my_new_db_password1

后续根据需要，NJet还会开发出具有各种功能的工具，方便NJet的使用与维护。

4. 备注

1. 该工具将在NJet发布的正式版本（NJet4.0）中发布，目前在njet的dynconf分支上可以试用。
2. 工具的安装位置与njet相同，默认为/usr/local/njet/sbin目录下。
3. 数据库的默认位置为 /usr/local/njet/apigw_data/api_gateway.db

   ---

   NJet 应用引擎通过内核重构实现了独特的运行时动态配置加载能力，是新一代高性能 Web 应用引擎。NJet 拥有高性能数据面处理能力，将集群、高可用、主动健康检查、声明式 API 等多种辅助功能，通过 NJet 独特的副驾驶 CoPilot 服务框架调度，从而方便功能扩展，隔离管理 / 控制功能对数据面的影响，NJet 应用引擎性能超过 CNCF 推荐 Envoy 应用引擎的三倍。  

                                                                                </div>

Source link