springboot实现application配置参数加解密

微服务的一个很重要指标是服务和配置(application.yml)相分离,配置一般情况下放到配置中心,例如:spring-cloud的spring-config,consul的KV等,这样就带来了一个安全问题,如果将数据库URL、用户名、密码等敏感参数放到配置中心就容易造成关键信息泄露的风险,所以对这些数据应该以加密的方式存储到配置中心,本文就介绍如何实现这个需求。

依赖选型

spring-config已经实现了这些功能,但是其他的微服务平台并没有提供,而jasypt正好弥补了这个缺陷,而且现在jasypt提供了springboot的starter能力,首先在微服务的pom里边引入如下依赖。

        
            com.github.ulisesbocchio
            jasypt-spring-boot-starter
            2.1.1
        

配置jasypt

jaspyt有很多配置项,例如:encryptor,jalgorithm,keyObtentionIterations,poolSize,providerClassName,saltGeneratorClassname,ivGeneratorClassname,stringOutputType等,其中encryptor.password是必须配置的,也就是根秘钥。这个配置建议打包到微服务jar里边,不要配置到配置中心。

# 配置加解密根秘钥
jasypt:
  encryptor:
    password: crazyicelee

生成加密串

配置中心存储的是敏感信息的加密串,所以在确定配置参数后,对这些参数先进行加密,然后再把加密后的base64字符串存储到配置中心对应的属性值中。加密过程可以在@Test方法中实现。

  1. 把StringEncryptor注入
    @Autowired
    private StringEncryptor stringEncryptor;
  1. 调用加密方法,生成对应的密文
    调用加密方法encrypt,生成密文。
    @Test
    public void encryptTest(){
        String miwen=stringEncryptor.encrypt("I am a Chinese.");
        log.info("{}-{}",miwen,stringEncryptor.decrypt(source));
    }

执行后的输出为:

2019-08-30 11:48:24.380  INFO 25460 --- [           main] c.c.l.a.thread.ApplicationTests          : KVjBxrm+mtk+A5126CSFeahmd+1Xy6Hy-I am a Chinese.
  1. 把密文作为配置属性值写到配置中心
    在原先的配置属性值的地方替换掉原来的明文数据,使用ENC函数引用密文。
#加密配置参数
myparameter: ENC(52mCXLK8fYjAL8xlCNt2f8jZkV1OYb0K)

工程中使用配置

工程中使用加密后的配置和原先的明文方式没有任何区别,jaspyt会在从配置中心引入到bean之前自动进行解密,也就是bean中获取的属性值还是加密前的明文。

    @Value("${myparameter}")
    private String myparameter;

读取配置文件中经过加密的属性值。

    @Test
    public void readMyparameterTest(){
        log.info("{}",myparameter);
    }

运行结果:

    2019-08-30 11:48:24.380  INFO 25460 --- [           main] c.c.l.a.thread.ApplicationTests          : I am a Chinese.

从上面的过程看非常之简单,和原先的配置属性使用方式没有太大的区别,但是从使用效果看安全性大大加强,俗话说“安全无小事”,希望大家在实际工程项目中都加密各自的敏感数据,不要给别有用心之人以可乘之机。

你可能感兴趣的:(springboot实现application配置参数加解密)