从产品的安全角度考虑,所有的敏感数据不能进行明文存储,比如数据库密码,Redis密码等,这些信息我们需要进行加密存储。而且对于安全性要求比较高的产品,对于加密算法也有要求,不能用普通的加密算法,需要使用安全性比较高的加密算法,比如PBEWITHHMACSHA512ANDAES_256,而且对密码的生成也有要严格要求,需要使用一次性随机密码,也就是密码只有在部署时刻由机器自动生成,部署完成后密码进行了加密,没有人知道原始密码是什么,防止密码人为的泄漏。这篇文章将介绍在SpringBoot下如何实现敏感信息的加密,以及如何在部署时随机生成一次性密码
Jasypt介绍
Jasypt是一个Java库,允许开发人员以很简单的方式添加基本加密功能,而无需深入研究加密原理。利用它可以实现高安全性的,基于标准的加密技术,无论是单向和双向加密。加密密码,文本,数字,二进制文件。官网http://www.jasypt.org/cli.html。我们可以从官网上下载Jasypt,包括文档,lib以及运行脚本。如下目录结构:
apidocs
bin
lib
LICENSE.txt
NOTICE.txt
readme.txt
它支持很多加密算法,在windows下运行listAlgorithms.bat,在Linux下运行listAlgorithms.sh,可以获取到支持的算法列表。
PBEWITHHMACSHA1ANDAES_128,
PBEWITHHMACSHA1ANDAES_256,
PBEWITHHMACSHA224ANDAES_128,
PBEWITHHMACSHA224ANDAES_256,
PBEWITHHMACSHA256ANDAES_128,
PBEWITHHMACSHA256ANDAES_256,
PBEWITHHMACSHA384ANDAES_128,
PBEWITHHMACSHA384ANDAES_256,
PBEWITHHMACSHA512ANDAES_128,
PBEWITHHMACSHA512ANDAES_256,
PBEWITHMD5ANDDES,
PBEWITHMD5ANDTRIPLEDES,
PBEWITHSHA1ANDDESEDE,
PBEWITHSHA1ANDRC2_128,
PBEWITHSHA1ANDRC2_40,
PBEWITHSHA1ANDRC4_128,
PBEWITHSHA1ANDRC4_40
JCE介绍
由于受美国的密码出口条例约束,Java中涉及加解密功能的API被限制出口,所以Java中安全组件被分成了两部分:不含加密功能的JCA(Java Cryptography Architecture )和含加密功能的JCE(Java Cryptography Extension)。主要是jre\lib\security 目录下的 local_policy.jar 和 US_export_policy.jar 这两个文件。
JCE的安装:
根据JDK版本选择相应的JCE进行安装,如何是OpenJDK1.8以上,已经包括了JCE,无需安装。
JDK8对应的版本下载链接:
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
JDK7对应的版本下载链接:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.htmlJDK早期版本的下载链接:http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-java-plat-419418.html#jce_policy-1.5.0-oth-JPR
下载对应版本的jce后就把本地的jdk备份了一下(以防出现问题),然后替换了local_policy.jar和US_export_policy.jar。
SpringBoot集成Jasypt
SpringBoot中集成Jasypt比较简单,很少代码就能实现数据的加密和解密。
第一步, 添加依赖和插件
添加jasypt-spring-boot-starter依赖:
com.github.ulisesbocchio
jasypt-spring-boot-starter
3.0.2
第二步, 自定义加密方法
如果在SpringBoot中使用默认的加密算法和配置来加密明文,无需开发代码和添加配置即可实现,只需要传入jasypt.encryptor.password密钥值。但大部分时候我们都会自定义加密,设置一些自定义参数,这种在SpringBoot中也可以比较简单的实现。
首先,自定义Bean,如下是使用PBEWITHHMACSHA512ANDAES_256算法来实现加密和解密。
@Bean("jasyptStringEncryptor")
publicStringEncryptor stringEncryptor(@Value("${jasypt.encryptor.password}")String key){
PooledPBEStringEncryptor encryptor =newPooledPBEStringEncryptor();
SimpleStringPBEConfig config = newSimpleStringPBEConfig();
config.setPassword(key);
config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
config.setKeyObtentionIterations("1000");
config.setPoolSize("1");
config.setProviderName("SunJCE");
config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
config.setStringOutputType("base64");
encryptor.setConfig(config);
return encryptor;
}
下一步,在application.properties中增加如下配置
jasypt.encryptor.password=${PRIVATE_KEY}
jasypt.encryptor.bean=jasyptStringEncryptor
注意密钥在环境变量中设置。
第三步,对明文进行加密
我们可以使用Jasypt-maven-plugin来对明文进行加密,添加jasypt-maven-plugin插件:
com.github.ulisesbocchio
jasypt-maven-plugin
3.0.2
以加密PostgreSQL密码为例。加密前配置,PostgreSQL密码以明文存储:
spring.datasource.url=jdbc:postgresql://${PG_HOST:localhost}:5432/test_db
spring.datasource.username=test
spring.datasource.password=testpassword
使用jasypt-maven-plugin插件加密明文密码:
mvn jasypt:encrypt-value -Djasypt.encryptor.password="privatekey"-Djasypt.plugin.value="testpassword"-Djasypt.encryptor.algorithm="PBEWithMD5AndDES"
jasypt.encryptor.password 是秘钥,尽量复杂!不能放在代码和配置文件里面,需要放在系统环境变量中,不能泄漏!
jasypt.plugin.value 是要加密的明文密码
jasypt.encryptor.algorithm默认加密算法是PBEWITHHMACSHA512ANDAES_256,需要有JCE(Java Cryptography Extension)支持,如果不想安装JCE,可以使用PBEWithMD5AndDES算法。
加密后的密码如下,会带上ENC前缀ENC(e9cSG928AtAKstkN5s4TuAHm2/Sw5vX4)
加密后配置,如下所示:
spring.datasource.url=jdbc:postgresql://${PG_HOST:localhost}:5432/test_db
spring.datasource.username=test
spring.datasource.password=ENC(e9cSG928AtAKstkN5s4TuAHm2/Sw5vX4)
jasypt.encryptor.algorithm=PBEWithMD5AndDES
jasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD}
完成上面的步骤后,常规的加密和解密就已经实现,是不是很简单。但对于安全性比较高的产品,可能初始密码不是固定的,而是安装时随机生成,然后也需要在SpringBoot的配置中进行加密和解密,这就是下面我要介绍的一次性随机密码的加密和解密。
一次性随机密码的加密和解密
完成上面的步骤后,代码方面的工作就全部完成,但如何实现部署时一次性随机密码呢,这就是部署脚本的工作。
我们使用Docker-Compose来配置我们的容器。比如下面的配置文件services.yml:
config-service:
image:"${YoureREPOSITORYURL}/config.servcice:${CONFIG_SERVICE_TAG}"
hostname: config-service
container_name: config-service
restart: always
environment:
- spring.datasource.url=jdbc:postgresql://postgres:5432/config-db
- spring.datasource.username=config_user
- spring.datasource.password=POSTGRE-PASSWORD-TO-BE-CHANGED
- jasypt.encryptor.password=JASYPT-PRIVATEKEY-TO-BE-CHANGED
- spring.jpa.show-sql=true
- spring.jpa.properties.hibernate.format_sql=true
- logging.level.org.hibernate.SQL=debug
- logging.level.org.hibernate.type.descriptor.sql=trace
上面的POSTGRE-PASSWORD-TO-BE-CHANGED和JASYPT-PRIVATEKEY-TO-BE-CHANGED需要被修改成加密后的密文。
第一步,将Jasypt部署成容器
Jasypt提供了加密和解密的脚本,encrypt.sh和descrpty.sh。我们将Jasypt打包成容器后,可以使用这些命令来加密我们随机生成的密码,我们可以自己写Dockerfile来build docker image,也可以使用Docker hub上的Docker image,比如dperezcabrera/jasypt-encrypt-cli。
第二步,创建用户名和密码SQL脚本
创建数据库脚本用来创建用户和密码,其中CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED需要被随机生成的密码替换,脚本文件名为database_init_script.sql,如下实例,
create user config_user NOINHERIT password 'CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED';
revoke all on database "config-db"from config_user;
grant connect on database "config-db" to config_user;
\c config-db
revoke all on all tables in schema "public"from config_user;
grant select,update,insert,delete on all tables in schema "public" to config_user;
\z
第三步,随机生成密码
使用命令生成64位的随机密码并存储到文件中,如下实例,
cat /dev/urandom | LC_ALL=C tr -dc a-zA-Z0-9| fold -w 64| head -n 1>~/state/pw
第四步,替换随机密码
使用命令替换sql脚本中的密码为随机密码,并在此存储到文件中,下次需要读出随机密码并进行加密,如下实例,
sed -i "s|CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED|$(cat ~/state/pw)|g"/database_init_script.sql
第四步,加密随机密码
64位的随机密码产生后,需要使用Jasypt进行加密,如下实例,
JASYPT=$(cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9'| fold -w 64| head -n 1)&& \
POSTGRESQL_CONFIG=$(docker exec postgres get-random.sh)&& \
ENC_CONFIG_DB="$(docker run encrypt.sh algorithm=PBEWITHHMACSHA512ANDAES_256 input=${POSTGRESQL_CONFIG} password=${JASYPT} ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator | tail -n 3 | head -n 1 | tr -d '\r')"
首先生成随机密钥JASYPT,然后用此密钥再调用Jasypt容器的脚本生成密文,注意明文的随机密码也是运行Postgre Docker容器的脚本得到,此值就是第四步中生成的随机密码。因为都是Docker容器,所以在Postgresql容器中生成随机密码后,存储在一个文件中,然后使用一个get-random.sh脚本可以读取到此密码文件。使用的加密算法是PBEWITHHMACSHA512ANDAES_256,其他参数跟Springboot代码中的配置文件保持一致。
第五步,在SpringBoot配置文件中设置加密后的密码
生成加密密码后,需要更新SpringBoot的配置文件,我们使用Docker-Compose管理,因此需要替换Docker-Compose中的密钥和加密后的密码,即JASYPT-PRIVATEKEY-TO-BE-CHANGED和PASSWORD-TO-BE-CHANGED值。
sed -i "s|JASYPT-PRIVATEKEY-TO-BE-CHANGED|${JASYPT}|g"./services.yml &&
sed -i "s|PASSWORD-TO-BE-CHANGED|ENC(${ENC_CONFIG_DB})|g"./services.yml
写在最后
完成上面的所有步骤后,再运行Docker-compose up命令,这样就实现了从代码到最后部署一次性随机密码的整个流程,密钥也是随机生成,因此中间过程没有任何的人工干预,无从破解。但这也带来了一个风险,就是没法对数据库进行人工运维,安全性提高了,但易用性大大降低了。因此这种方式适合于安全特别高的产品,对于安全一般的产品,使用maven的jasypt plugin根据明文生成密文,并将密钥存放在环境变量中,我认为这样就足够了。