Springboot如何实现对配置文件中的明文密码加密

 更新时间:2023年12月11日 17:09:32   作者:Java技术攻略  
这篇文章主要介绍了Springboot如何实现对配置文件中的明文密码加密问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

前言

我们在SpringBoot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;

所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险;

示例展示

我们来看一下这个配置:

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "123456"

我们上述的配置spring.datasource.password对应的值为123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;

原理解析

我们为了实现这个功能,需要了解Spring的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过Spring的哪个扩展点进行切入;

我们想要拦截配置数据的话,可以通过实现自定义的BeanFactoryPostProcessor来处理:

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
​
  private ConfigurableEnvironment environment;
​
  public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
    this.environment = environment;
  }
​
  @Override
  public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
    // 从ConfigurableEnvironment中取出所有的配置数据
    MutablePropertySources propertySources = this.environment.getPropertySources();
    propertySources.stream()
        // 过滤不需要包装的对象
        .filter(s -> !noWrapPropertySource(s))
        // 包装所有的PropertySource
        .map(s -> new EncryPropertySource(s))
        .collect(Collectors.toList())
        // 替换掉propertySources中的PropertySource
        .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  }
​
  private boolean noWrapPropertySource(PropertySource propertySource) {
    return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  }
}

基本原理解析如下:

  • 1.通过ConfigurableEnvironment取出所有的PropertySource并依次遍历;
  • 2.过滤掉不符合我们要求的PropertySource,因为PropertySource有很多子类,并不是所有的PropertySource实例都符合我们包装的要求;
  • 3.对符合要求的PropertySource做一层包装,其实就是静态代理;
  • 4.用包装好的PropertySource替换掉之前的PropertySource实例;

通过上述一系列的操作,我们就可以在PropertySource取值的时候做一些自定义的操作了,比如针对密文密码进行解密;

剩下的另一个问题就是加解密的问题,密码学里面有 对称加密 和 非对称加密,这两种加密方式的区别就是 对称加密 的加密解密都需要同一个密钥,而 非对称加密 加密的时候需要公钥,解密的时候需要私钥;

了解了对称加密 与 非对称加密 的区别,如果我们使用的是 对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密 一定要避免密文和私钥放在同一个地方;

工具介绍

接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去maven仓库找到相关的包:

     <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

它的实现原理其实就是我们上面所讲述的,通过自定义BeanFactoryPostProcessorConfigurableEnvironment中的PropertySource实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;

导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:

jasypt:
  encryptor:
    # 密钥
    password: ""
    property:
      # 密文前缀
      prefix: ""
      # 密文后缀
      suffix: ""

在上述配置中,jasypt.encryptor.password是一定要配置的,这就是加解密的密钥,默认的加密算法是PBEWITHHMACSHA512ANDAES_256

另外jasypt.encryptor.property.prefixjasypt.encryptor.property.suffix分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是ENC(,密文后缀是)

默认情况下,我们的密文如下所示:

spring:
  datasource:
    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;

实现自定义加解密

如果jasypt提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:

 
@Bean("jasyptStringEncryptor")
  public StringEncryptor jasyptStringEncryptor(){
    return new StringEncryptor() {
      @Override
      public String encrypt(String s) {
        // TODO 加密
        return null;
      }
​
      @Override
      public String decrypt(String s) {
        // TODO 解密
        return null;
      }
    };
  }

注意我们的BeanName,默认情况下一定要设置成jasyptStringEncryptor,否则不会生效,如果想要改变这个BeanName,也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName

jasypt:
  encryptor:
    # 自定义StringEncryptor的BeanName
    bean: ""

如何生成密文

生成密文的这个操作还是要自个儿通过调用StringEncryptor实例来加密生成,可以参考以下代码:

@Component
public class StringEncryptorUtil{
  @Autowired
  private StringEncryptor encryptor;
  
  public void encrypt(){
    String result = encryptor.encrypt("123456");
    System.out.println(result);
  }
}

毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可;

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • JAVA中常用的设计模式:单例模式,工厂模式,观察者模式

    JAVA中常用的设计模式:单例模式,工厂模式,观察者模式

    设计模式(Design pattern)代表了最佳的实践,通常被有经验的面向对象的软件开发人员所采用。设计模式是软件开发人员在软件开发过程中面临的一般问题的解决方案。这些解决方案是众多软件开发人员经过相当长的一段时间的试验和错误总结出来的。
    2020-04-04
  • 最全JVM调优步骤和参数及配置

    最全JVM调优步骤和参数及配置

    这篇文章主要给大家介绍了关于JVM调优的相关资料,JVM调优是指对Java虚拟机(JVM)进行优化,以提高Java程序的性能和运行效率,文中介绍的非常详细,需要的朋友可以参考下
    2024-03-03
  • java去除数组重复元素的四种方法

    java去除数组重复元素的四种方法

    本文给大家分享四种java去除数组重复元素的方法,每种方法通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
    2021-11-11
  • Java的特点和优点(动力节点整理)

    Java的特点和优点(动力节点整理)

    由于Java语言的设计者们十分熟悉C++语言,所以在设计时很好地借鉴了C++语言。可以说,Java语言是一种比C++语言“还面向对象”的一种编程语言,下面通过本文说下java的特点和优点
    2017-03-03
  • 如何编写javascript的gulp插件

    如何编写javascript的gulp插件

    本文主要介绍了使用PMD进行代码审查的方法,具有很好的参考价值,下面跟着小编一起来看下吧
    2017-02-02
  • java生成自增编号数字的问题

    java生成自增编号数字的问题

    这篇文章主要介绍了java生成自增编号数字的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-09-09
  • Java中的FileInputStream 和 FileOutputStream 介绍_动力节点Java学院整理

    Java中的FileInputStream 和 FileOutputStream 介绍_动力节点Java学院整理

    FileInputStream 是文件输入流,它继承于InputStream。FileOutputStream 是文件输出流,它继承于OutputStream。接下来通过本文给大家介绍Java中的FileInputStream 和 FileOutputStream,需要的朋友可以参考下
    2017-05-05
  • C++享元模式详解

    C++享元模式详解

    这篇文章主要为大家详细介绍了C++设计模式之享元模式Flyweight,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2021-09-09
  • 支持生产阻塞的Java线程池

    支持生产阻塞的Java线程池

    在各种并发编程模型中,生产者-消费者模式大概是最常用的了。在实际工作中,对于生产消费的速度,通常需要做一下权衡
    2014-04-04
  • 计算机编程语言发展史

    计算机编程语言发展史

    这篇文章主要介绍了Java计算机编程语言发展史,编程语言 可以简单的理解为一种计算机和人都能识别的语言。一种计算机语言让程序员能够准确地定义计算机所需要使用的数据,并精确地定义在不同情况下所应当采取的行动,下面详细内容,需要的小伙伴可以参考一下
    2022-01-01

最新评论