User list. Revised home page. Updated Jetty. Secure cookies. Docs.

James Moger

2011-05-23 a4d2498b7f94012cfdf481fcf151f8cfd7537a42

 src/com/gitblit/GitBlitServer.java

@@ -2,40 +2,23 @@


import java.io.BufferedReader;

import java.io.File;

import java.io.FileInputStream;

import java.io.FileOutputStream;

import java.io.IOException;

import java.io.InputStreamReader;

import java.io.OutputStream;

import java.math.BigInteger;

import java.net.InetAddress;

import java.net.ServerSocket;

import java.net.Socket;

import java.net.URL;

import java.net.UnknownHostException;

import java.security.KeyPair;

import java.security.KeyPairGenerator;

import java.security.KeyStore;

import java.security.ProtectionDomain;

import java.security.SecureRandom;

import java.security.Security;

import java.security.cert.X509Certificate;

import java.text.MessageFormat;

import java.util.ArrayList;

import java.util.Date;

import java.util.List;



import org.apache.log4j.ConsoleAppender;

import org.apache.log4j.PatternLayout;

import org.apache.wicket.protocol.http.ContextParamWebApplicationFactory;

import org.apache.wicket.protocol.http.WicketFilter;

import org.bouncycastle.asn1.x500.X500NameBuilder;

import org.bouncycastle.asn1.x500.style.BCStyle;

import org.bouncycastle.cert.X509v3CertificateBuilder;

import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter;

import org.bouncycastle.cert.jcajce.JcaX509v3CertificateBuilder;

import org.bouncycastle.operator.ContentSigner;

import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder;

import org.eclipse.jetty.http.security.Constraint;

import org.eclipse.jetty.security.ConstraintMapping;

import org.eclipse.jetty.security.ConstraintSecurityHandler;

@@ -46,6 +29,7 @@
import org.eclipse.jetty.server.Server;

import org.eclipse.jetty.server.bio.SocketConnector;

import org.eclipse.jetty.server.nio.SelectChannelConnector;

import org.eclipse.jetty.server.session.HashSessionManager;

import org.eclipse.jetty.server.ssl.SslConnector;

import org.eclipse.jetty.server.ssl.SslSelectChannelConnector;

import org.eclipse.jetty.server.ssl.SslSocketConnector;

@@ -56,7 +40,6 @@
import org.eclipse.jetty.util.log.Logger;

import org.eclipse.jetty.util.thread.QueuedThreadPool;

import org.eclipse.jetty.webapp.WebAppContext;

import org.eclipse.jgit.http.server.GitServlet;



import com.beust.jcommander.JCommander;

import com.beust.jcommander.Parameter;

@@ -171,7 +154,7 @@
         File keystore = new File("keystore");

         if (!keystore.exists()) {

            logger.info("Generating self-signed SSL certificate");

            generateSelfSignedCertificate("localhost", keystore, params.storePassword);

            MakeCertificate.generateSelfSignedCertificate("localhost", keystore, params.storePassword);

         }

         if (keystore.exists()) {

            Connector secureConnector = createSSLConnector(keystore, params.storePassword, params.useNIO, params.securePort);

@@ -210,6 +193,16 @@
      rootContext.setServer(server);

      rootContext.setWar(location.toExternalForm());

      rootContext.setTempDirectory(tempDir);

		
      // Mark all cookies HttpOnly so they are not accessible to JavaScript

      // engines.

      // http://erlend.oftedal.no/blog/?blogid=33

      // https://www.owasp.org/index.php/HttpOnly#Browsers_Supporting_HttpOnly

      HashSessionManager sessionManager = new HashSessionManager();

      sessionManager.setHttpOnly(true);

      // Use secure cookies if only serving https

      sessionManager.setSecureCookies(params.port <= 0 && params.securePort > 0);

      rootContext.getSessionHandler().setSessionManager(sessionManager);



      // Wicket Filter

      String wicketPathSpec = "/*";

@@ -222,44 +215,42 @@
      // Git Servlet

      ServletHolder gitServlet = null;

      String gitServletPathSpec = "/git/*";

      if (fileSettings.getBoolean(Keys.git.allowPushPull, true)) {

         gitServlet = rootContext.addServlet(GitServlet.class, gitServletPathSpec);

      if (fileSettings.getBoolean(Keys.git.enableGitServlet, true)) {

         gitServlet = rootContext.addServlet(GitBlitServlet.class, gitServletPathSpec);

         gitServlet.setInitParameter("base-path", params.repositoriesFolder);

         gitServlet.setInitParameter("export-all", params.exportAll ? "1" : "0");

         gitServlet.setInitParameter("export-all", fileSettings.getBoolean(Keys.git.exportAll, true) ? "1" : "0");

      }



      // Login Service

      LoginService loginService = null;

      String realmUsers = params.realmFile;

      if (realmUsers != null && new File(realmUsers).exists()) {

         logger.info("Setting up login service from " + realmUsers);

         JettyLoginService jettyLoginService = new JettyLoginService(realmUsers);

         GitBlit.self().setLoginService(jettyLoginService);

         loginService = jettyLoginService;

      String realmUsers = params.realmFile;		
      if (!StringUtils.isEmpty(realmUsers)) { 
         File realmFile = new File(realmUsers);

         if (realmFile.exists()) {		
            logger.info("Setting up login service from " + realmUsers);

            JettyLoginService jettyLoginService = new JettyLoginService(realmFile);

            GitBlit.self().setLoginService(jettyLoginService);

            loginService = jettyLoginService;

         }

      }



      // Determine what handler to use

      Handler handler;

      if (gitServlet != null) {

         if (loginService != null && params.authenticatePushPull) {

            // Authenticate Pull/Push

            String[] roles = new String[] { Constants.PULL_ROLE, Constants.PUSH_ROLE };

            logger.info("Authentication required for git servlet pull/push access");

         if (loginService != null) {

            // Authenticate Clone/Push

            logger.info("Setting up authenticated git servlet clone/push access");



            Constraint constraint = new Constraint();

            constraint.setName("auth");

            constraint.setAuthenticate(true);

            constraint.setRoles(roles);

            constraint.setRoles(new String [] { "*" });



            ConstraintMapping mapping = new ConstraintMapping();

            mapping.setPathSpec(gitServletPathSpec);

            mapping.setConstraint(constraint);



            ConstraintSecurityHandler security = new ConstraintSecurityHandler();

            ConstraintSecurityHandler security = new ConstraintSecurityHandler();				
            security.addConstraintMapping(mapping);

            for (String role : roles) {

               security.addRole(role);

            }

            security.setAuthenticator(new BasicAuthenticator());

            security.setLoginService(loginService);

            security.setStrict(false);

@@ -273,7 +264,7 @@
            handler = rootContext;

         }

      } else {

         logger.info("Git servlet pull/push disabled");

         logger.info("Git servlet clone/push disabled");

         handler = rootContext;

      }



@@ -339,48 +330,6 @@
      return connector;

   }

   

   private static void generateSelfSignedCertificate(String hostname, File keystore, String keystorePassword) {

      try {

         Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());



         final String BC = org.bouncycastle.jce.provider.BouncyCastleProvider.PROVIDER_NAME;

			
         KeyPairGenerator kpGen = KeyPairGenerator.getInstance("RSA", "BC");

         kpGen.initialize(1024, new SecureRandom());

         KeyPair pair = kpGen.generateKeyPair();



         // Generate self-signed certificate

         X500NameBuilder builder = new X500NameBuilder(BCStyle.INSTANCE);

         builder.addRDN(BCStyle.OU, Constants.NAME);

         builder.addRDN(BCStyle.O, Constants.NAME);

         builder.addRDN(BCStyle.CN, hostname);



         Date notBefore = new Date(System.currentTimeMillis() - 1*24*60*60*1000l);

         Date notAfter = new Date(System.currentTimeMillis() + 10*365*24*60*60*1000l);

         BigInteger serial = BigInteger.valueOf(System.currentTimeMillis());



         X509v3CertificateBuilder certGen = new JcaX509v3CertificateBuilder(builder.build(), serial, notBefore, notAfter, builder.build(), pair.getPublic());

         ContentSigner sigGen = new JcaContentSignerBuilder("SHA256WithRSAEncryption").setProvider(BC).build(pair.getPrivate());

         X509Certificate cert = new JcaX509CertificateConverter().setProvider(BC).getCertificate(certGen.build(sigGen));

         cert.checkValidity(new Date());

         cert.verify(cert.getPublicKey());



         // Save to keystore			
         KeyStore store = KeyStore.getInstance("JKS");

         if (keystore.exists()) {

            FileInputStream fis = new FileInputStream(keystore);

            store.load(fis, keystorePassword.toCharArray());

         } else {

            store.load(null);

         }

         store.setKeyEntry(hostname, pair.getPrivate(), keystorePassword.toCharArray(), new java.security.cert.Certificate[] { cert });

         store.store(new FileOutputStream(keystore), keystorePassword.toCharArray());

      } catch (Throwable t) {

         t.printStackTrace();

         throw new RuntimeException("Failed to generate self-signed certificate!", t);

      }

   }



   /**

    * Recursively delete a folder and its contents.

    * 

@@ -448,37 +397,31 @@
      @Parameter(names = { "--stop" }, description = "Stop Server")

      public Boolean stop = false;



      @Parameter(names = { "--temp" }, description = "Server temp folder")

      @Parameter(names = { "--tempFolder" }, description = "Server temp folder")

      public String temp = fileSettings.getString(Keys.server.tempFolder, "temp");



      /*

       * GIT Servlet Parameters

       */

      @Parameter(names = { "--repos" }, description = "Git Repositories Folder")

      @Parameter(names = { "--repositoriesFolder" }, description = "Git Repositories Folder")

      public String repositoriesFolder = fileSettings.getString(Keys.git.repositoriesFolder, "repos");



      @Parameter(names = { "--exportAll" }, description = "Export All Found Repositories")

      public Boolean exportAll = fileSettings.getBoolean(Keys.git.exportAll, true);



      /*

       * Authentication Parameters

       */

      @Parameter(names = { "--authenticatePushPull" }, description = "Authenticate Git Push/Pull access")

      public Boolean authenticatePushPull = fileSettings.getBoolean(Keys.git.authenticate, true);



      @Parameter(names = { "--realm" }, description = "Users Realm Hash File")

      public String realmFile = fileSettings.getString(Keys.server.realmFile, "users.properties");

      @Parameter(names = { "--realmFile" }, description = "Users Realm Hash File")

      public String realmFile = fileSettings.getString(Keys.realm.realmFile, "users.properties");



      /*

       * JETTY Parameters

       */

      @Parameter(names = { "--nio" }, description = "Use NIO Connector else use Socket Connector.")

      @Parameter(names = { "--useNio" }, description = "Use NIO Connector else use Socket Connector.")

      public Boolean useNIO = fileSettings.getBoolean(Keys.server.useNio, true);



      @Parameter(names = "--port", description = "HTTP port for to serve. (port <= 0 will disable this connector)")

      @Parameter(names = "--httpPort", description = "HTTP port for to serve. (port <= 0 will disable this connector)")

      public Integer port = fileSettings.getInteger(Keys.server.httpPort, 80);



      @Parameter(names = "--securePort", description = "HTTPS port to serve.  (port <= 0 will disable this connector)")

      @Parameter(names = "--httpsPort", description = "HTTPS port to serve.  (port <= 0 will disable this connector)")

      public Integer securePort = fileSettings.getInteger(Keys.server.httpsPort, 443);



      @Parameter(names = "--storePassword", description = "Password for SSL (https) keystore.")