保护 SpringBoot 配置文件中的敏感信息

发文章专用配图

最近涉及到基于Spring Boot微服务成果在多个分云环境下本地化部署的问题，这就涉及到了配置信息的维护，也就是配置信息需“外挂”于微服务部署包，而不是集成于部署包的方式。带来的很大挑战就是“外挂”信息的安全问题。
今年由于没有回去跟老人一起过年，这年不会过了，一点年味都没有，且最近几个月没正经看技术东西，终于春节假期有些时间安静下来补欠账。

一、旧事

记得2006年那个时候还不是微服务架构，当时涉及到数据库连接信息的加密，当时是自己写的加解密算法，提供给DBA，DBA把明文的数据库信息加密后给开发，这样做到即是把全部代码和配置文件拿到，也无法直连数据库，避免数据安全问题。
技术在发展，但基本算法100年也不会变，Spring Boot架构下的思路与2006年类似。

二、引言

使用过Spring Boot配置文件的开发都知道，资源文件中的内容通常情况下是明文显示，安全性就比较低一些。

打开application.properties或application.yml，比如： MySql登陆密码，Redis登陆密码以及第三方的密钥等等一览无余，这里介绍一个加解密组件，提高一些属性配置的安全性。

jasypt由一个国外大神写了一个Spring Boot下的工具包，用来加密配置文件中的信息。

GitHub Demo地址:
https://github.com/jeikerxiao/spring-boot2/tree/master/spring-boot-encrypt

三、示例

以每个最常见的数据用户名和数据库密码加密为例，进行实操。

1. 引入包

查看最新版本可以到:

https://github.com/ulisesbocchio/jasypt-spring-boot

        com.github.ulisesbocchio
        jasypt-spring-boot-starter
        2.1.0

2. 配置加/解的密码

# jasypt加密的密匙
jasypt:
  encryptor:
    password: ErBaDaGangGuoxiuzhi

3. 测试用例中生成加密后的秘钥

@RunWith(SpringRunner.class)
@SpringBootTest
public class DatabaseTest {

    @Autowired
    private StringEncryptor encryptor;

    @Test
    public void getPass() {
        String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("123456");
        System.out.println("database url: " + url);
        System.out.println("database name: " + name);
        System.out.println("database password: " + password);
        Assert.assertTrue(url.length() > 0);
        Assert.assertTrue(name.length() > 0);
        Assert.assertTrue(password.length() > 0);
    }
}

下面是输出加密字符串：

database url: 6Ut7iADnHS18cManoFJuNRQ5QEDfcho/F96SOhsHZdXlHYCa5PSrz6rk48I9eHB7qPp5AxDFBk9xi0I1hi6BJ0DSPYA9443gBAk5JDUxDufjUKsdh6knZJLNELmFJzYrDvCu4S0x22MYdZqJDLbyDUU2JcoezCvs156vmsPgU4A=
database name: fmai72yGYKGlP6vTtX77EQ==
database password: GPMG7FGV+EA9iGkC27u67A==

4. 将加密后的字符串替换原明文

在配置文件application.yml中替换明文。

server:
  port: 8080
spring:
  # 数据库相关配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    # 这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区
    url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
    username: ENC(sT6BztXbJEa71eg3pPGYMQ==)
    password: ENC(MpSZFJ9ftq+3+VUANZjr0Q==)
  jpa:
    hibernate:
      ddl-auto: update
    show-sql: true
  # 返回的api接口的配置，全局有效
  jackson:
   # 如果某一个字段为null，就不再返回这个字段
    default-property-inclusion: non_null
    date-format: yyyy-MM-dd HH:mm:ss
    serialization:
      write-dates-as-timestamps: false
    time-zone: GMT+8
# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW

注意: 上面的 ENC() 是jasypt固定语法.

四、附言

部署时配置盐值

为了防止salt(盐)泄露,反解出密码.可以在项目部署的时候使用命令传入salt(盐)值:
java -jar xxx.jar -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW
或者在服务器的环境变量里配置,进一步提高安全性。

打开Linux操作系统的/etc/profile文件

vim /etc/profile
在profile文件末尾插入salt(盐)变量：
export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW

编译，使配置文件生效：
source /etc/profile

运行
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar

总结

以上通过多级配置和加解密实现运维工程师、DBA、开发工程师三权分立，协同完成关键配置，实现信息保护目标。

——2022年1月31日除夕，写于天津。