使用Springboot对配置文件中的敏感信息加密

更新时间：2021年08月13日 16:43:32 作者：iFence

这篇文章主要介绍了使用Springboot对配置文件中的敏感信息加密方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教

Springboot对配置文件的敏感信息加密

前言

最近公司对软件的安全问题比较在意，要求对配置文件中的敏感信息如数据库密码等进行加密。但是Springboot是一款高度集成的框架，如果仅仅是简单的对数据库密码进行加密了，由于连接数据库的操作是框架自己完成的，这就会造成不小的麻烦。

经过调研，找到了如下方式还比较方便。

项目配置

该项目用到了jasypt库。原理很简单，通过该库提供的方法进行敏感信息加密，生成密文xxxxx，然后将密文使用ENC()包裹起来。

添加依赖

<!-- jasypt场景启动器依赖 -->
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.0</version>
</dependency>

修改明文密码

配置文件中密码将原来的明文密码改为ENC(密文密码)的样子，如下：

# 原MySQL密码，删掉不用
#spring.datasource.password=xxxx
# 加密后的MySQL密码
spring.datasource.password=ENC(BSYVaS0K9UEIIZACPLduGUumokOpB44c==)
# 如果是其他需要加密的密码，比如es密码es123456
es.password=ENC(xxxxxxx)
# 加密密码所需要的盐（随便写）。为了更加安全，这一行配置不要写在配置文件中，可以写在启动参数中
jasypt.encryptor.password=nmyswls
# 指定使用的算法
# 可选算法有：PBEWITHHMACSHA512ANDAES_256、PBEWITHHMACSHA512ANDAES_128、PBEWithMD5AndDES
jasypt.encryptor.algorithm=PBEWithMD5AndDES

生成加密字符串

加密过程中需要使用到盐，盐的设置不要太随意，因为原则上盐不能存储又不能忘记，所以尽量遵循一定的命名规则，供内部人员依据规则判断盐是什么。

# 其中下面运行的jar包为上面maven依赖中所指定的jar包，input参数为需要加密的字符串，password参数为加密所需的盐。 java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="str" password="salt" algorithm=PBEWithMD5AndDES

上述jar包可以从maven中央仓库中下载。

注意事项

由于该方法是对称加密方式，因此系统在解密的时候同样需要此盐，但是盐一定不能对外暴露。因此在第二步配置文件中并没有配置解密所需的盐，而是改用在系统启动时通过命令行传参的方式传入。

总结一下

本方案依赖jasypt库，可以对配置文件中任意字符串进行加密，不仅仅局限于密码，更不仅仅局限于mysql密码。
由于采用对称加密算法，如果泄露了加密需要的盐（上文提到的jasypt.encryptor.password参数），很容易对密码进行解密。因此加密用的盐需要写在配置文件外面，启动参数中。

springboot使用加密的配置属性

依赖：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>1.16</version>
</dependency>

1、加密属性配置

在application.properties或者相应的proffile的properties文件

其中

jasypt.encryptor.password = klklklklklklklkl 是加解密的盐

enc是加密变量使用的特殊符号.

2、也可以把这些配置

到apollo中如果使用了apollo配置中心

代码执行的效果

参考：

https://github.com/ulisesbocchio/jasypt-spring-boot

https://github.com/ctripcorp/apollo-use-cases/tree/master/spring-boot-encrypt

本文目的是说明这个是springboot支持的既支持普通boot项目也可以用于apollo配置中心

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

Java中Flux类响应式编程的核心组件详解
Flux是响应式编程核心组件,支持异步流处理、背压控制与丰富操作符,适用于Web应用、数据管道及事件流处理,与Mono的区别在于可发射0-N元素,适合多元素场景,本文给大家介绍Java中Flux类响应式编程的核心组件,感兴趣的朋友跟随小编一起看看吧
2025-09-09
Java底层基于链表实现集合和映射--集合Set操作详解
这篇文章主要介绍了Java底层基于链表实现集合和映射集合Set操作,结合实例形式详细分析了Java使用链表实现集合和映射相关原理、操作技巧与注意事项,需要的朋友可以参考下
2020-03-03
java thread start()和run()方法简析
本文以java中thread的start()和run()的区别做详细介绍，需要了解跟多的朋友可以参考下
2012-11-11
微信公众号模板消息接口开发Java实现方法代码
这篇文章主要介绍了微信公众号模板消息接口开发Java实现的相关资料,,该接口可以用于向关注公众号的用户推送消息,包括群发和指定用户发送消息,文章详细介绍了如何获取公众号的测试信息、配置接口信息和获取access_token,需要的朋友可以参考下
2024-12-12
Java静态方法不具有多态性详解
下面小编就为大家带来一篇Java静态方法不具有多态性详解。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-06-06
Springboot+MybatisPlus+Oracle实现主键自增的示例代码
这篇文章主要介绍了Springboot+MybatisPlus+Oracle实现主键自增的示例代码,本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2020-11-11
Java实现域名解析的示例详解(附带源码)
这篇文章将从理论到实践和从代码到测试,全方位地讲解如何利用 Java 实现一个简单的域名解析器,感兴趣的小伙伴可以跟随小编一起学习一下
2025-03-03
maven profile实现多环境配置的示例
这篇文章主要介绍了maven profile实现多环境配置的示例,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-01-01
idea编译时不提示任何错误信息的问题及解决
这篇文章主要介绍了idea编译时不提示任何错误信息的问题及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
2023-12-12
Java注解篇之@SneakyThrows示例详解
在Java编程中异常处理是一个重要的概念,为了简化异常处理过程,Lombok库提供了一个名为@SneakyThrows的注解,这篇文章主要介绍了Java注解篇之@SneakyThrows的相关资料,需要的朋友可以参考下
2025-06-06