查看原文
其他

Spring Boot 配置文件敏感信息加密

康熙 终码一生 2022-09-22

点击“终码一生”,关注,置顶公众号

每日技术干货,第一时间送达!



使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。


打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。


jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置文件中的信息。


GitHub Demo地址:

https://github.com/jeikerxiao/spring-boot2/tree/master/spring-boot-encrypt


数据用户名和数据库密码加密为例


1. 引入包


查看最新版本可以到:

https://github.com/ulisesbocchio/jasypt-spring-boot


<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>2.1.0</version>
</dependency>


2. 配置加/解的密码


# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW


3. 测试用例中生成加密后的秘钥


@RunWith(SpringRunner.class)
@SpringBootTest
public class DatabaseTest {

    @Autowired
    private StringEncryptor encryptor;

    @Test
    public void getPass() {
        String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("123456");
        System.out.println("database url: " + url);
        System.out.println("database name: " + name);
        System.out.println("database password: " + password);
        Assert.assertTrue(url.length() > 0);
        Assert.assertTrue(name.length() > 0);
        Assert.assertTrue(password.length() > 0);
    }
}


下面是输出加密字符串:


database url: 6Ut7iADnHS18cManoFJuNRQ5QEDfcho/F96SOhsHZdXlHYCa5PSrz6rk48I9eHB7qPp5AxDFBk9xi0I1hi6BJ0DSPYA9443gBAk5JDUxDufjUKsdh6knZJLNELmFJzYrDvCu4S0x22MYdZqJDLbyDUU2JcoezCvs156vmsPgU4A=
database name: fmai72yGYKGlP6vTtX77EQ==
database password: GPMG7FGV+EA9iGkC27u67A==


4. 将加密后的字符串替换原明文


applicatioin.yml
server:
  port: 8080
spring:
  
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    
    url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
    username: ENC(sT6BztXbJEa71eg3pPGYMQ==)
    password: ENC(MpSZFJ9ftq+3+VUANZjr0Q==)
  jpa:
    hibernate:
      ddl-auto: update
    show-sql: true
  
  jackson:
   
    default-property-inclusion: non_null
    date-format: yyyy-MM-dd HH:mm:ss
    serialization:
      write-dates-as-timestamps: false
    time-zone: GMT+8

jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW


注意: 上面的 ENC() 是固定写法。


附言


部署时配置salt(盐)值


为了防止salt(盐)泄露,反解出密码.可以在项目部署的时候使用命令传入salt(盐)值:


java -jar xxx.jar -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW


或者在服务器的环境变量里配置,进一步提高安全性。


打开/etc/profile文件


vim /etc/profile


在profile文件末尾插入salt(盐)变量


export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW


编译,使配置文件生效


source /etc/profile


运行


java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar


PS:防止找不到本篇文章,可以收藏点赞,方便翻阅查找哦。 


往期推荐



基于 SpringBoot 开发的疫情防控管理系统!

Java8的Stream不好调试?试试StreamTrace调试神器!

几款 Docker 图形化工具,优缺点对比!

100多个常用免费 API 接口分享,不限次数,留着备用!

Spring Boot 3.0.0 发布第一个里程碑版本M1,你的 Java 升到 17 了吗?

面试官:您熟悉redis?搭建过redis集群?


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存