SpringBoot项目使用jasypt-spring-boot加密数据库密码和配置文件

Jasypt是一个加密库,Github上有一个集成了JasyptSpring Boot库,叫jasypt-spring-boot,可以加密我们在源码配置文件里面的有段的敏感信息,如用户名密码等,本文演示了如何使用该库对配置文件进行加密。

一、先看一份典型的配置文件

... 
## 配置MySQL连接信息
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://121.196.xxx.xxx:3306/user?useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=123456
 
## 配置Redis连接信息
redis.host=121.196.xxx.xxx
redis.port=6379
redis.password=111111
 
## 配置SMS短信服务连接
aliyun.sms.access_key_id=3zHmLddxAes7Bbe21
aliyun.sms.access_key_secret=b3mWd36iy0him8tr
...  

这是节选自某个典型的Spring Boot项目的application.properties配置文件。这乍一看没啥问题,很多人会觉得理所当然。初期我的开源项目也是这样写的,直到某天我突然想到,如果大家拿项目里面的配置信息直接连接我的数据库,然后删除掉我数据库的所有数据,那世界上不就又多了一个伤心的人了。


所以,为了保证项目的安全,我们通用做法是将SpringBoot的配置文件中敏感并且重要的信息进行加密处理。

二、使用jasypt-spring-boot加密配置文件

1、引入jasypt-spring-boot加密组件

maven:在项目pom中添加如下代码


    com.github.ulisesbocchio
    jasypt-spring-boot-starter
    3.0.2

Gradle

implementation("com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.4")
2、配置加密密钥

在Spring Boot的项目配置文件application.properties里新增如下配置:

jasypt.encryptor.password=CodeSheep
3、加密测试

为了便于测试,我们直接扩展Spring Boot项目的启动类,项目启动时执行加密测试代码,直接看效果

@SpringBootApplication
public class SpringBootConfigEncryptApplication implements CommandLineRunner {
 
    @Autowired
    private ApplicationContext appCtx;
 
    @Autowired
    private StringEncryptor codeSheepEncryptorBean;
 
    public static void main(String[] args) {
        SpringApplication.run(SpringBootConfigEncryptApplication.class, args);
    }
 
    @Override
    public void run(String... args) throws Exception {
 
        Environment environment = appCtx.getBean(Environment.class);
 
        // 首先获取配置文件里的原始明文信息
        String mysqlOriginPswd = environment.getProperty("spring.datasource.password");
        String redisOriginPswd = environment.getProperty("redis.password");
        String aliSmsOriginAk = environment.getProperty("ali.sms.access_key_secret");
 
        // 加密
        String mysqlEncryptedPswd = encrypt( mysqlOriginPswd );
        String redisEncryptedPswd = encrypt( redisOriginPswd );
        String aliSmsEncryptedAk = encrypt( aliSmsOriginAk );
 
        // 打印加密前后的结果对比
        System.out.println( "MySQL原始明文密码为:" + mysqlOriginPswd );
        System.out.println( "Redis原始明文密码为:" + redisOriginPswd );
        System.out.println( "阿里云SMS原始AccessKey密码为:" + aliSmsOriginAk );
        System.out.println( "====================================" );
        System.out.println( "MySQL原始明文密码加密后的结果为:" + mysqlEncryptedPswd );
        System.out.println( "Redis原始明文密码加密后的结果为:" + redisEncryptedPswd );
        System.out.println( "阿里云SMS原始AccessKey密码加密后的结果为:" + aliSmsEncryptedAk );
    }
 
    private String encrypt( String originPassord ) {
        String encryptStr = codeSheepEncryptorBean.encrypt( originPassord );
        return encryptStr;
    }
 
    private String decrypt( String encryptedPassword ) {
        String decryptStr = codeSheepEncryptorBean.decrypt( encryptedPassword );
        return decryptStr;
    }
}

运行项目,控制台打印:

MySQL原始明文密码为:123456
Redis原始明文密码为:111111
阿里云SMS原始AccessKey密码为:bImWdv13da894mly
====================================
MySQL原始明文密码加密后的结果为:IV7SyeQOfG4GhiXeGLboVgOLPDO+dJMDoOdmEOQp3KyVjruI+dKKeehsTriWPKbo
Redis原始明文密码加密后的结果为:litUkxJ3fN6+//Emq3vZ+y4o7ZOnZ8doOy7NrgJIDLoNWGG0m3ygGeQh/dEroKvv
阿里云SMS原始AccessKey密码加密后的结果为:MAhrOs20DY0RU/c1IKyLCt6dWZqLLOO4wUcK9GBgSxNII3C+y+SRptors+FyNz55xNDslhDnpWllhcYPwZsO5A==
4、修改配置文件,替换待加密配置项

我们拿到上一步得到的加密结果,将配置文件中的原始明文密码替换成上一步对应的结果即可,就像这样:



所以强烈建议配置文件里的所有重要信息都这样处理!

5、查看密码解密结果
@SpringBootApplication
public class SpringBootConfigEncryptApplication implements CommandLineRunner {
 
    @Autowired
    private ApplicationContext appCtx;
 
    @Autowired
    private StringEncryptor codeSheepEncryptorBean;
 
    public static void main(String[] args) {
        SpringApplication.run(SpringBootConfigEncryptApplication.class, args);
    }
 
    @Override
    public void run(String... args) throws Exception {
 
        Environment environment = appCtx.getBean(Environment.class);
 
        // 首先获取配置文件里的配置项
        String mysqlOriginPswd = environment.getProperty("spring.datasource.password");
        String redisOriginPswd = environment.getProperty("redis.password");
        String aliSmsOriginAk = environment.getProperty("ali.sms.access_key_secret");
 
        // 打印解密后的结果
        System.out.println( "MySQL原始明文密码为:" + mysqlOriginPswd );
        System.out.println( "Redis原始明文密码为:" + redisOriginPswd );
        System.out.println( "阿里云SMS原始AccessKey密码为:" + aliSmsOriginAk );
    }
}    

打印结果:

MySQL原始明文密码为:123456
Redis原始明文密码为:111111
阿里云SMS原始AccessKey密码为:bImWdv13da894mly

很明显,在代码中使用时,jasypt-spring-boot组件会自动将ENC()语法包裹的配置项加密字段自动解密,数据得以还原。

这时候我想肯定很多小伙伴表示疑惑,典型的比如:
1、加密密钥必须放在ENC()中?为什么是ENC?
2、虽然说原始涉及信息安全的配置项被加密,但是自定义的加密密钥jasypt.encryptor.password=CodeSheep假如泄露了,别人不还是有几率可以解密的吗?
针对这些问题,继续往下看。

三、自定义加密前后缀

如果不愿意使用jasypt默认提供的ENC来标记加密字段,完全可以换成自定义的前后缀标记,比如我想换成CodeSheep()来标记加密字段,此时只需要在配置文件里配置一下前后缀即可:

jasypt.encryptor.property.prefix=CodeSheep(
jasypt.encryptor.property.suffix=)

四、让加密更安全

虽然经过上文的加密,涉及信息安全的配置项肯定会变得更安全,这个毋庸置疑!

但是假如配置文件里的自定义加密密钥jasypt.encryptor.password=CodeSheep泄露了,那我们的加密字段也还是有可能被别人解密,为此,有几项工作可以让加密变得更加安全。

1、使用自定义加密器

上文实验加密时,使用的是默认的加密规则,这一点会让当自定义加密密钥泄漏时可能变得不安全。为此我们可以自定义加密规则。

自定义加密规则非常简单,只需要提供自定义的加密器配置类即可,比如我这里自定义一个名为 codeSheepEncryptorBean类型的加密器:

@Configuration
public class CodeSheepEncryptorCfg {
 
    @Bean( name = "codeSheepEncryptorBean" )
    public StringEncryptor codesheepStringEncryptor() {
 
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
 
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("CodeSheep");
        config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
 
        return encryptor;
    }
}

注意这里Bean的名字name是需要显式指定的(默认的名字是jasyptStringEncryptor),如果像这里一样用的自定义名字,则还需要在Spring Boot的application.properties配置文件中来指定bean的名字,就像这样:

jasypt.encryptor.bean=codeSheepEncryptorBean
2、加密密钥不要写在配置文件中

如果觉得上面这种方式还是可能会导致加密密钥泄露的话(毕竟还是写在了配置文件中),那我们干脆可以直接将加密密钥从配置文件中拿掉,取而代之的有三种方式:

  • 方式一:直接作为程序启动时的命令行参数来带入
java -jar yourproject.jar --jasypt.encryptor.password=CodeSheep
  • 方式二:直接作为程序启动时的应用环境变量来带入
java -Djasypt.encryptor.password=CodeSheep -jar yourproject.jar
  • 方式三:甚至可以作为系统环境变量的方式来带入
    比方说,我们提前设置好系统环境变量JASYPT_ENCRYPTOR_PASSWORD = CodeSheep,则直接在Spring Boot的项目配置文件中做如下配置即可:
jasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD:}

这时候也会安全得多。嘘…好了,说了这么多,如果你项目的配置文件中的重要信息没有加密的话,答应我,二话别说,赶快全部偷偷去改掉,快!速度!跑步前进!

你可能感兴趣的:(SpringBoot项目使用jasypt-spring-boot加密数据库密码和配置文件)