Springboot配置文件中账号密码等敏感信息的加解密

说明:

  • 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性比较低。
  • 打开application.properties或application.yml,比如MySQL登录密码,Redis登录密码以及第三方的密钥等等一览无余。
  • 这里介绍一个加解密组件jasypt,用以提高配置文件中敏感配置数据的安全性。
  • 本文以数据库连接URL、用户名和数据库密码加密为例。

一,引入Maven依赖


        com.github.ulisesbocchio
        jasypt-spring-boot-starter
        2.1.0

说明:
1)这里使用的是2.1.0版本的jasypt-spring-boot-starter。
2)目前jasypt-spring-boot-starter的最新版本是3.0.5。版本不同,配置可能也不一样,请以官网为准。本文的配置,仅供2.1.0版本参考。

二,application.yml配置文件中增加如下内容(加解密时使用)

#jasypt加密的密钥
jasypt:
  encryptor:
    property:
      prefix: "enc@["
      suffix: "]"
    #生产环境中,jasypt.encryptor.password不能与密文放在一起
    #可以通过系统属性、命令行参数或环境变量传递
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7

说明:

  • 上面的password必须自己定义,其他都可以不配置,因为有默认配置(见下表)。
  • 在生产环境中,jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递。
  • jasypt默认使用ENC(),()里面是加密后的信息。这里我配置成enc@[],即,[]里面是加密后的配置数据。可以不配置。
默认配置
Key Required Default Value
jasypt.encryptor.password True -
jasypt.encryptor.algorithm False PBEWITHHMACSHA512ANDAES_256
jasypt.encryptor.key-obtention-iterations False 1000
jasypt.encryptor.pool-size False 1
jasypt.encryptor.provider-name False SunJCE
jasypt.encryptor.provider-class-name False null
jasypt.encryptor.salt-generator-classname False org.jasypt.salt.RandomSaltGenerator
jasypt.encryptor.iv-generator-classname False org.jasypt.iv.RandomIvGenerator
jasypt.encryptor.string-output-type False base64
jasypt.encryptor.proxy-property-sources False false
jasypt.encryptor.skip-property-sources False empty list

三,创建测试类,用以生成加密后的秘钥

import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;

public class JasyptTest {
    public static void main(String args[]) {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();

        //设置加密密码,请和配置文件中的保持一致,默认会添加随机盐
        config.setPassword("EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");

        //设置pool size
        config.setPoolSize(1);

        encryptor.setConfig(config);

        String url = encryptor.encrypt("jdbc:mysql://192.168.111.88:3306/testdb?allowPublicKeyRetrieval=true&useUnicode=true&characterEncoding=utf8&autoReconnect=true&useSSL=false&serverTimezone=Asia/Shanghai&allowMultiQueries=true");
        String name = encryptor.encrypt("你的数据库账号");
        String password = encryptor.encrypt("你的数据库密码");
        System.out.println("数据库连接URL----------------" + url);
        System.out.println("数据库账号----------------"+ name);
        System.out.println("数据库密码----------------" + password);
    }
}

下面是加密后的输出结果

数据库连接URL----------------GxNAlIqGJiGaufrvrxtCS2udohjUDRyGTCNv1iuK+I2zTNK1OjVEAn0kK3tjjoIS9LPTJMiXJNuPma1fFtA6Kydaq0/qfAOOOnZS9dVNiiOneXYCy0CXwFW21HeuqQMSXicz6K6mTUjTSXoLt3BedTeuMBAjIrMvzPyBAxXpKaTGIHWJayu2o+T1IRbkMWOP4c+ruUB57E2SXSrgcvI2n4yq2jK84/Y3VV3HlwnuEdxNlc54P9v+u8cP5F7EmgcZzqONAEGd1o4=
数据库账号----------------7JpTbrd7hOStIks6Nih3vA==
数据库密码----------------kCNP4+yhce5nF+3c+tR3ww==

四,将上面生成的url、name和password替换配置文件中的数据库连接url、数据库账户和密码

spring:
  #数据库相关配置
  datasource:
    url: enc@[GxNAlIqGJiGaufrvrxtCS2udohjUDRyGTCNv1iuK+I2zTNK1OjVEAn0kK3tjjoIS9LPTJMiXJNuPma1fFtA6Kydaq0/qfAOOOnZS9dVNiiOneXYCy0CXwFW21HeuqQMSXicz6K6mTUjTSXoLt3BedTeuMBAjIrMvzPyBAxXpKaTGIHWJayu2o+T1IRbkMWOP4c+ruUB57E2SXSrgcvI2n4yq2jK84/Y3VV3HlwnuEdxNlc54P9v+u8cP5F7EmgcZzqONAEGd1o4=]
    username: enc@[7JpTbrd7hOStIks6Nih3vA==]
    password: enc@[kCNP4+yhce5nF+3c+tR3ww==]

#jasypt加密的密钥
jasypt:
  encryptor:
    property:
      prefix: "enc@["
      suffix: "]"
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7

到此,我们就实现了Springboot配置文件里的敏感信息加密。

五、参考链接

  • jasypt插件的开源地址:https://github.com/ulisesbocchio/jasypt-spring-boot
  • SpringBoot配置文件敏感信息加密,springboot配置文件数据库密码加密jasypt

你可能感兴趣的:(软件开发,spring,spring,boot,java,后端)