一、穿上衣服停止裸奔
我们在SpringBoot项目中的yml或者properties配置文件中都是明文的,如果mysql数据库账号、密码也写成明文安全性就比较低,明文的密码就像在裸奔,因此有必要穿上衣服才能愉快地奔跑。我们采用Jasypt框架对MySQL数据库账号和密码进行加密。
二、使用Jasypt进行加密
2.1 添加Jasypt依赖
compile group: 'com.github.ulisesbocchio', name: 'jasypt-spring-boot-starter', version: '2.1.1'
2.2 将数据库的用户名和密码进行加密
public class JasyptTest {
public static void main(String[] args) {
BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//加密所需的salt(盐),自定义
textEncryptor.setPassword("retail_salt");
//要加密的数据(数据库的用户名或密码)
String username = textEncryptor.encrypt("retail_u");
String password = textEncryptor.encrypt("retail_PWD_123");
System.out.println("username:"+username);
System.out.println("password:"+password);
}
}
得到加密字符串
username:5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx
password:1NiRLG1lUkzLSg3uerUwU0bIRCDYiZnX
注:每次运行得到的加密字符串是不一样的
2.3 配置application-test.yml文件
spring:
########-spring datasource-########
datasource:
#账号配置
url: jdbc:mysql://127.0.0.1:3306/retail_db?useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8
username: ENC(5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx)
password: ENC(1NiRLG1lUkzLSg3uerUwU0bIRCDYiZnX)
driver-class-name: com.mysql.cj.jdbc.Driver
########-jasypt数据库用户名、密码加密salt-########
jasypt:
encryptor:
password: retail_salt #加密时的salt值
2.4 完成配置,启动服务
到此已经完成Jasypt对数据库用户名、密码的加密
三、处理salt写在配置文件里泄露的问题
我们已经用Jasypt对数据库用户名、密码的加密,但salt值又配置在application-test.yml,知道了salt值反过来又可以对加密字符串进行解密, 如:
BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//加密所需的salt(盐),自定义
textEncryptor.setPassword("retail_salt");
//解密
String decrypt = textEncryptor.decrypt("5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx");
System.out.println("username decrypt:"+decrypt);
// 可解密得到 retail_u
而且网上很多文章却到此为止,宛如从裸奔“进化”到了皇帝的新装,自欺欺人而已。网上大部分提供的是处理jar的方法,具体可以参考使用Jasypt对SpringBoot配置文件加密
以下我将提供处理war包的方法。
3.1 将jasypt. encryptor. password配置从配置文件中移除
即,将这段配置从application-test.yml移除,随后jasypt. encryptor. password的值我们将从外部配置文件中读取
########-jasypt数据库用户名、密码加密salt-########
jasypt:
encryptor:
password: retail_salt #加密时的salt值
3.2 新建一个名为jasypt.properties的文件,里面内容为
jasypt.encryptor.password=retail_salt
并将该文件放在本地/Users/ac/jasypt.properties (我的Mac开发环境)
jasypt.properties
3.3 新建一个Java类LocalSettingsEnvironmentPostProcessor
import org.springframework.boot.SpringApplication;
import org.springframework.boot.env.EnvironmentPostProcessor;
import org.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MutablePropertySources;
import org.springframework.core.env.PropertiesPropertySource;
import org.springframework.core.io.FileSystemResource;
import org.springframework.core.io.support.PropertiesLoaderUtils;
import java.io.File;
import java.io.IOException;
import java.util.Properties;
/**
* @author AlanChen
* @description 读取本地配置文件jasypt加密salt值
* @date 2019/5/23
*/
public class LocalSettingsEnvironmentPostProcessor implements EnvironmentPostProcessor{
/**
* 第一个配置文件路径为部署环境路径,用于部署环境加载配置文件里的值
* 第二个配置文件路径为本地打包环境路径,解决打包时报错问题
*/
private static final String LOCATIONS [] = {"/opt/tomcat8/webapps/jasypt.properties","/Users/ac/jasypt.properties"};
@Override
public void postProcessEnvironment(ConfigurableEnvironment configurableEnvironment, SpringApplication springApplication) {
for(String fileLocation : LOCATIONS){
File file = new File(fileLocation);
if (file.exists()) {
MutablePropertySources propertySources = configurableEnvironment.getPropertySources();
Properties properties = loadProperties(file);
propertySources.addFirst(new PropertiesPropertySource("Config", properties));
return ;
}
}
}
private Properties loadProperties(File f) {
FileSystemResource resource = new FileSystemResource(f);
try {
return PropertiesLoaderUtils.loadProperties(resource);
}
catch (IOException ex) {
throw new IllegalStateException("Failed to load local settings from " + f.getAbsolutePath(), ex);
}
}
}
这个java类的作用就是根据指定的配置文件路径,读取文件,添加到程序运行的环境中。
3.4 创建一个spring.factories的文件
然后在你的resources文件夹下创建一个文件夹名为META-INF,在里面创建一个spring.factories的文件,文件内容如下:
org.springframework.boot.env.EnvironmentPostProcessor=com.netelis.retail.common.config.jasypt.LocalSettingsEnvironmentPostProcessor
这个文件的作用就是设置SpringBoot服务启动的时候调用我们刚才写的那个Java类。
至此,你的war包在使用tomcat启动的时候就应该可以读取制定位置的外部文件了。我的文件结构如下,仅供参考
spring.factories
3.5 打war部署测试
gradle build
image.png
3.5 本地开发,启动idea
启动idea也正常
image.png
参考文章:
使用Jasypt对SpringBoot配置文件加密
SpringBoot 打包为war包启动时导入外部配置文件
最后给大家送波福利
阿里云折扣快速入口
阿里云折扣快速入口