写点什么

SpringBoot 实现对配置文件中的明文密码加密

  • 2023-03-25
    湖南
  • 本文字数:2825 字

    阅读完需:约 9 分钟

我们在 SpringBoot 项目当中,会把数据库的用户名密码等配置直接放在 yaml 或者 properties 文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;


所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险;

示例展示

我们来看一下这个配置:

spring:  # 数据库链接配置  datasource:    url: jdbc:mysql://xx.xx.xx.xx:3306/database    driver-class-name: com.mysql.cj.jdbc.Driver    username: root    password: "123456"
复制代码

我们上述的配置 spring.datasource.password 对应的值为 123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:

spring:  # 数据库链接配置  datasource:    url: jdbc:mysql://xx.xx.xx.xx:3306/database    driver-class-name: com.mysql.cj.jdbc.Driver    username: root    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
复制代码

这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;

原理解析

我们为了实现这个功能,需要了解 Spring 的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过 Spring 的哪个扩展点进行切入;


我们想要拦截配置数据的话,可以通过实现自定义的 BeanFactoryPostProcessor 来处理:

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
private ConfigurableEnvironment environment; public PropertySourcePostProcessor(ConfigurableEnvironment environment) { this.environment = environment; } @Override public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException { // 从ConfigurableEnvironment中取出所有的配置数据 MutablePropertySources propertySources = this.environment.getPropertySources(); propertySources.stream() // 过滤不需要包装的对象 .filter(s -> !noWrapPropertySource(s)) // 包装所有的PropertySource .map(s -> new EncryPropertySource(s)) .collect(Collectors.toList()) // 替换掉propertySources中的PropertySource .forEach(wrap -> propertySources.replace(wrap.getName(), wrap)); } private boolean noWrapPropertySource(PropertySource propertySource) { return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource"); }}
复制代码

基本原理解析如下:

  1. 通过 ConfigurableEnvironment 取出所有的 PropertySource 并依次遍历;

  2. 过滤掉不符合我们要求的 PropertySource,因为 PropertySource 有很多子类,并不是所有的 PropertySource 实例都符合我们包装的要求;

  3. 对符合要求的 PropertySource 做一层包装,其实就是静态代理;

  4. 用包装好的 PropertySource 替换掉之前的 PropertySource 实例;


通过上述一系列的操作,我们就可以在 PropertySource 取值的时候做一些自定义的操作了,比如针对密文密码进行解密;


剩下的另一个问题就是加解密的问题,密码学里面有对称加密和非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;


了解了对称加密与非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密一定要避免密文和私钥放在同一个地方;

工具介绍

接下来我们要介绍一款专门针对这个需求的 jar 工具,它就是 jasypt,我们可以去 maven 仓库找到相关的包:

<dependency>    <groupId>com.github.ulisesbocchio</groupId>    <artifactId>jasypt-spring-boot-starter</artifactId>    <version>3.0.5</version></dependency>
复制代码

它的实现原理其实就是我们上面所讲述的,通过自定义 BeanFactoryPostProcessor 对 ConfigurableEnvironment 中的 PropertySource 实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;


导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:

jasypt:  encryptor:    # 密钥    password: ""    property:      # 密文前缀      prefix: ""      # 密文后缀      suffix: ""
复制代码

在上述配置中,jasypt.encryptor.password 是一定要配置的,这就是加解密的密钥,默认的加密算法是 PBEWITHHMACSHA512ANDAES_256;


另外 jasypt.encryptor.property.prefix 和 jasypt.encryptor.property.suffix 分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是 ENC(,密文后缀是);


默认情况下,我们的密文如下所示:

spring:  datasource:    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
复制代码

还有一个需要注意的点就是 jasypt.encryptor.password 不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;

实现自定义加解密

如果 jasypt 提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:

@Bean("jasyptStringEncryptor")  public StringEncryptor jasyptStringEncryptor(){    return new StringEncryptor() {      @Override      public String encrypt(String s) {        // TODO 加密        return null;      }      @Override      public String decrypt(String s) {        // TODO 解密        return null;      }    };  }
复制代码

注意我们的 BeanName,默认情况下一定要设置成 jasyptStringEncryptor,否则不会生效,如果想要改变这个 BeanName,也可以通过修改这个配置参数来自定义 StringEncryptor 实例所对应的 BeanName:

jasypt:  encryptor:    # 自定义StringEncryptor的BeanName    bean: ""
复制代码

如何生成密文

生成密文的这个操作还是要自个儿通过调用 StringEncryptor 实例来加密生成,可以参考以下代码:

@Componentpublic class StringEncryptorUtil{  @Autowired  private StringEncryptor encryptor;    public void encrypt(){    String result = encryptor.encrypt("123456");    System.out.println(result);  }}
复制代码

毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可;


作者:梦想实现家_Z

链接:https://juejin.cn/post/7208722414598258746

来源:稀土掘金


用户头像

还未添加个人签名 2021-07-28 加入

公众号:该用户快成仙了

评论

发布
暂无评论
SpringBoot实现对配置文件中的明文密码加密_Java_做梦都在改BUG_InfoQ写作社区