springboot配置文件中敏感数据(账号密码)加密方式
背景
原本项目中数据库和中间件账号密码都是直接用明文配置的,毕竟这样最方便开发,平时也没人在乎这个。
但是部署到实际项目中,甲方进行安全检查第一个就查到这个,要求我们整改,那只能整了。
网上找了一些资料,好像大都用Jasypt加密工具操作,Jasypt官网看其他博客看了下,发现使用起来比较方便,直接简单记录下,
扩展:
直接预研敏感数据加密技术,不只是对配置文件加密,对其他接口经过后台的敏感数据也进行了解,包括数据加密、加密后的技术怎么进行模糊查询等等,会在后续博客中进行编写。
当然这都是后话,下面直接操作Jasypt进行配置文件账号密码加密。
实践Jasypt
1、引入依赖
<!-- https://mvnrepository.com/artifact/com.github.ulisesbocchio/jasypt-spring-boot-starter --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> </dependency>
如果项目中启动类没有 @SpringBootApplication或@EnableAutoConfiguration注解,
那么需要引入jasypt-spring-boot依赖且需要创建配置类
并启用 @Configuration和@EnableEncryptableProperties,进行声明。
2、账号密码转成加密值
创建一个工具类把我们的账号密码进行加密
import org.jasypt.properties.PropertyValueEncryptionUtils; import org.jasypt.util.text.BasicTextEncryptor; import org.slf4j.Logger; import org.slf4j.LoggerFactory; /** * Jasypt加密工具类 * @author ppp * @date 2023/1/5 */ public class JasyptUtil { private static final Logger logger = LoggerFactory.getLogger(JasyptUtil.class); /** * 加密使用密钥,需要在和配置文件中的jasypt.encryptor.password保持一致 */ private static final String PRIVATE_KEY = "demo"; /** * BasicTextEncryptor对象初始化使用的算法就是"PBEWithMD5AndDES" * 点击进源码构造方法中就可以看到下面的设置 * this.encryptor.setAlgorithm("PBEWithMD5AndDES"); */ private static BasicTextEncryptor basicTextEncryptor = new BasicTextEncryptor(); static { basicTextEncryptor.setPassword(PRIVATE_KEY); } /** * 明文加密 * * @param plaintext 明文 * @return String */ public static String encrypt(String plaintext) { logger.info("明文字符串为:{}", plaintext); String ciphertext = basicTextEncryptor.encrypt(plaintext); logger.info("密文字符串为:{}", ciphertext); return ciphertext; } /** * 解密 * * @param ciphertext 密文 * @return String */ public static String decrypt(String ciphertext) { logger.info("密文字符串为:{}", ciphertext); ciphertext = "ENC(" + ciphertext + ")"; if (PropertyValueEncryptionUtils.isEncryptedValue(ciphertext)) { String plaintext = PropertyValueEncryptionUtils.decrypt(ciphertext, basicTextEncryptor); logger.info("明文字符串为:{}", plaintext); return plaintext; } logger.error("解密失败!"); return ""; } public static void main(String[] args) { String encrypt = encrypt("123456"); String test = decrypt(encrypt); } }
3、配置文件添加配置
application.yml中添加配置
jasypt: encryptor: # 指定加密密钥,生产环境请放到启动参数里面 -Djasypt.encryptor.password=加密密钥 password: demo # 指定解密算法,需要和加密时使用的算法一致 algorithm: PBEWithMD5AndDES # 指定initialization vector类型 iv-generator-classname: org.jasypt.iv.NoIvGenerator
4、替换账号密码
把application.yml中需要加密的账号密码都换成 ENC(密文) 格式即可
启用项目后他会检测配置文件中ENC样式的数据把里面的密文解密出来给框架使用。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
Java concurrency线程池之线程池原理(二)_动力节点Java学院整理
这篇文章主要为大家详细介绍了Java concurrency线程池之线程池原理第二篇,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06SpringCloud Edgware.SR3版本中Ribbon的timeout设置方法
今天小编就为大家分享一篇关于SpringCloud Edgware.SR3版本中Ribbon的timeout设置方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2018-12-12Spring Boot Actuator未授权访问漏洞的问题解决
Spring Boot Actuator 端点的未授权访问漏洞是一个安全性问题,可能会导致未经授权的用户访问敏感的应用程序信息,本文就来介绍一下解决方法,感兴趣的可以了解一下2023-09-09
最新评论