SpringBoot配置文件密码加密与解密的操作代码

更新时间：2024年12月18日 09:07:55 作者：技术栈人员

我们在SpringBoot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,所以我们需要给密码加解密,本文给大家介绍了SpringBoot配置文件密码加密与解密的操作代码,需要的朋友可以参考下

引言

我们在SpringBoot项目当中，会把数据库的用户名密码等配置直接放在yaml或者properties文件中，这样维护数据库的密码等敏感信息显然是有一定风险的，如果相关的配置文件被有心之人拿到，必然会给项目造成一定的安全风险；所以为了避免明文密码被直接看到，我们有必要给这些敏感信息做一层加密处理，也就是说，我们的配置文件中配置的都是加密后的密码，在真正需要获取密码的时候再解密出来，这样的话就能很大程度上降低密码被泄漏的风险。

示例展示

我们来看一下这个配置：

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "123456"

我们上述的配置spring.datasource.password对应的值为123456，这么敏感的信息直接放在配置文件中很不合适，我们要做的就是对应的值改成一个加密的密文，如下：

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

这样的话，即使该配置文件被有心之人拿去，也不知道真正的数据库密码是啥，也就无法构成对项目的侵害风险；

原理解析

我们为了实现这个功能，需要了解Spring的相关扩展点以及对应的数据加解密知识，我们先来看看我们应该通过Spring的哪个扩展点进行切入；

我们想要拦截配置数据的话，可以通过实现自定义的BeanFactoryPostProcessor来处理：

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
  private ConfigurableEnvironment environment;
  public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
    this.environment = environment;
  }
 
  @Override
  public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
    // 从ConfigurableEnvironment中取出所有的配置数据
    MutablePropertySources propertySources = this.environment.getPropertySources();
    propertySources.stream()
        // 过滤不需要包装的对象
        .filter(s -> !noWrapPropertySource(s))
        // 包装所有的PropertySource
        .map(s -> new EncryPropertySource(s))
        .collect(Collectors.toList())
        // 替换掉propertySources中的PropertySource
        .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  }
 
  private boolean noWrapPropertySource(PropertySource propertySource) {
    return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  }
}

基本原理解析如下：

❝
1.通过ConfigurableEnvironment取出所有的PropertySource并依次遍历；

2.过滤掉不符合我们要求的PropertySource，因为PropertySource有很多子类，并不是所有的PropertySource实例都符合我们包装的要求；

3.对符合要求的PropertySource做一层包装，其实就是静态代理；

4.用包装好的PropertySource替换掉之前的PropertySource实例；

通过上述一系列的操作，我们就可以在PropertySource取值的时候做一些自定义的操作了，比如针对密文密码进行解密；

剩下的另一个问题就是加解密的问题，密码学里面有对称加密和非对称加密，这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥，而非对称加密加密的时候需要公钥，解密的时候需要私钥；

了解了对称加密与非对称加密的区别，如果我们使用的是对称加密，那么一定要避免密文和密钥放在同一个地方；非对称加密一定要避免密文和私钥放在同一个地方；

工具介绍

接下来我们要介绍一款专门针对这个需求的jar工具，它就是jasypt，我们可以去maven仓库找到相关的包：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

它的实现原理其实就是我们上面所讲述的，通过自定义BeanFactoryPostProcessor对ConfigurableEnvironment中的PropertySource实例进行拦截包装，在包装类的实现上做一层解密操作，这样就实现了对密文密码的解密；

导入上述依赖后，该工具就已经自动生效了，我们就可以修改对应的配置了，首先我们先针对该工具做一些配置：

jasypt:
  encryptor:
    # 密钥
    password: ""
    property:
      # 密文前缀
      prefix: ""
      # 密文后缀
      suffix: ""

在上述配置中，jasypt.encryptor.password是一定要配置的，这就是加解密的密钥，默认的加密算法是PBEWITHHMACSHA512ANDAES_256；另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix分别是密文前缀和密文后缀，是用来标注需要解密的密文的，如果不配置，默认的密文前缀是ENC(，密文后缀是)；默认情况下，我们的密文如下所示：

spring:
  datasource:
    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起，我们可以在项目当中通过系统属性、命令行参数或环境变量传递；

实现自定义加解密

如果jasypt提供的加解密方式不能满足咱们的项目需求，我们还可以自己实现加解密：

@Bean("jasyptStringEncryptor")
public StringEncryptor jasyptStringEncryptor(){
  return new StringEncryptor() {
    @Override
    public String encrypt(String s) {
      // TODO 加密
      return null;
    }
    @Override
    public String decrypt(String s) {
      // TODO 解密
      return null;
    }
  };
}

注意我们的BeanName，默认情况下一定要设置成jasyptStringEncryptor，否则不会生效，如果想要改变这个BeanName，也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName：

jasypt:
  encryptor:
    # 自定义StringEncryptor的BeanName
    bean: ""

如何生成密文

生成密文的这个操作还是要自个儿通过调用StringEncryptor实例来加密生成，可以参考以下代码：

@Component
public class StringEncryptorUtil{
  @Autowired
  private StringEncryptor encryptor;
  
  public void encrypt(){
    String result = encryptor.encrypt("123456");
    System.out.println(result);
  }
}

毕竟需要加密的操作只需要在项目生命周期中执行一次，所以我们只需要简单地写一个工具类调用一下即可。

以上就是SpringBoot配置文件密码加密与解密的操作代码的详细内容，更多关于SpringBoot配置文件密码加解密的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

springboot 参数格式校验操作
这篇文章主要介绍了springboot 参数格式校验操作，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07
Java 方法递归的思路详解
程序调用自身的编程技巧称为递归（ recursion）。递归做为一种算法在程序设计语言中广泛应用。但是如果没终止条件会造成死循环，所以递归代码里要有结束自调自的条件，接下来讲解一下学习递归的思路
2022-04-04
java中日期格式化的大坑
这篇文章主要介绍了java中日期格式化的大坑，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-01-01
Spring Boot 中的 @ConditionalOnBean 注解场景分析
本文详细介绍了Spring Boot中的@ConditionalOnBean注解的使用场景、原理和基本用法,通过多个示例,展示了如何使用该注解根据Bean是否存在来动态地注册或跳过特定的Bean,感兴趣的朋友一起看看吧
2025-03-03
Springboot Redis 哨兵模式的实现示例
本文主要介绍了Springboot Redis 哨兵模式的实现示例，文中通过示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2022-01-01
MyBatis加解密插件的示例详解
本文介绍了使用 MyBatis 插件实现数据库字段加解密的探索过程，实际开发过程中需要注意的细节比较多，整个流程下来我对 MyBatis 的理解也加深了，对MyBatis加解密插件感兴趣的朋友跟随小编一起看看吧
2022-08-08
java基础的详细了解第七天
这篇文章对Java编程语言的基础知识作了一个较为全面的汇总，在这里给大家分享一下。需要的朋友可以参考，希望能给你带来帮助
2021-08-08
JVM 心得分享(加载链接初始化)
下面小编就为大家带来一篇JVM 心得分享(加载链接初始化)。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2017-10-10
Java中的DelayQueue实现原理及应用场景详解
这篇文章主要介绍了Java中的DelayQueue实现原理及应用场景详解,DelayQueue是一个没有边界BlockingQueue实现,加入其中的元素必需实现Delayed接口,当生产者线程调用put之类的方法加入元素时,会触发Delayed接口中的compareTo方法进行排序,需要的朋友可以参考下
2023-12-12
Mac OS X 下 IntelliJ IDEA、jEdit 等 Java 程序中文标点输入无效的完美解决方法
Mac OS X 下基于 Java 的程序会出现中文标点输入无效的问题，在中文输入法状态，可以输入中文字，但输入中文标点最后上去的是英文标点.这篇文章主要介绍了Mac OS X 下 IntelliJ IDEA、jEdit 等 Java 程序中文标点输入无效的完美解决方法,需要的朋友可以参考下
2016-10-10