CollabNet SVN Edge如何配置密码复杂度策略？

一、常见技术问题：SVN Edge 密码策略缺失的表象与根源

CollabNet SVN Edge（2017年正式终止维护）作为一款集成化Subversion管理平台，其Web控制台与底层Jetty容器深度耦合，但users.conf仅支持明文/SHA-256哈希存储，svnedge.conf中无password-min-length、require-digit等任何密码策略字段。管理员在UI中反复查找“Security Policy”或“Password Rules”菜单项均为空白——这不是配置遗漏，而是架构级缺失。

二、分析过程：为何标准Web容器加固手段全部失效？

• Servlet安全约束被绕过：SVN Edge自定义AuthFilter直接解析HTTP Basic头并调用UserManager.authenticate()，完全跳过Jetty的ConstraintSecurityHandler生命周期；
• Jetty配置无效性验证：即使在jetty-web.xml中声明<login-config><auth-method>BASIC</auth-method></login-config>并绑定Realm，认证仍由SVN Edge内部逻辑接管；
• LDAP集成非默认启用：本地文件认证（file-realm）为默认模式，而AD/LDAP需手动开启且需额外配置ldap.conf及SSL证书信任链。

三、合规性路径对比：两种可行方案的技术纵深分析

四、高风险定制方案的典型失败案例（反模式警示）

某金融客户曾尝试在Apache反向代理层注入Lua脚本校验POST /auth/login请求体中的password字段：

location /auth/login {
  content_by_lua_block {
    local pwd = ngx.var.arg_password
    if not (string.len(pwd) >= 8 
        and string.match(pwd, "%u") 
        and string.match(pwd, "%l") 
        and string.match(pwd, "%d") 
        and string.match(pwd, "[^%w]")) then
      ngx.exit(400)
    end
  }
}

该方案上线后导致SVN Edge后台任务（如仓库同步、备份计划）因Basic Auth凭据硬编码而批量失败——因代理层未区分API调用与人工登录上下文，暴露了“策略与认证解耦”的根本矛盾。

五、演进路线图：从遗留系统到现代治理的渐进式迁移