Springboot实现对配置文件中的明文密码加密

这篇具有很好参考价值的文章主要介绍了Springboot实现对配置文件中的明文密码加密。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

我们在SpringBoot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险;

示例展示

我们来看一下这个配置:

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "123456"
复制代码

我们上述的配置spring.datasource.password对应的值为123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
复制代码

这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;

原理解析

我们为了实现这个功能,需要了解Spring的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过Spring的哪个扩展点进行切入;

我们想要拦截配置数据的话,可以通过实现自定义的BeanFactoryPostProcessor来处理:

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
​
  private ConfigurableEnvironment environment;
​
  public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
    this.environment = environment;
  }
​
  @Override
  public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
    // 从ConfigurableEnvironment中取出所有的配置数据
    MutablePropertySources propertySources = this.environment.getPropertySources();
    propertySources.stream()
        // 过滤不需要包装的对象
        .filter(s -> !noWrapPropertySource(s))
        // 包装所有的PropertySource
        .map(s -> new EncryPropertySource(s))
        .collect(Collectors.toList())
        // 替换掉propertySources中的PropertySource
        .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  }
​
  private boolean noWrapPropertySource(PropertySource propertySource) {
    return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  }
}
复制代码

基本原理解析如下:

1.通过ConfigurableEnvironment取出所有的PropertySource并依次遍历;

2.过滤掉不符合我们要求的PropertySource,因为PropertySource有很多子类,并不是所有的PropertySource实例都符合我们包装的要求;

3.对符合要求的PropertySource做一层包装,其实就是静态代理;

4.用包装好的PropertySource替换掉之前的PropertySource实例;

通过上述一系列的操作,我们就可以在PropertySource取值的时候做一些自定义的操作了,比如针对密文密码进行解密;

剩下的另一个问题就是加解密的问题,密码学里面有对称加密非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;

了解了对称加密非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密一定要避免密文和私钥放在同一个地方;

工具介绍

接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去maven仓库找到相关的包:

     <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
复制代码

它的实现原理其实就是我们上面所讲述的,通过自定义BeanFactoryPostProcessorConfigurableEnvironment中的PropertySource实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;

导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:

jasypt:
  encryptor:
    # 密钥
    password: ""
    property:
      # 密文前缀
      prefix: ""
      # 密文后缀
      suffix: ""
复制代码

在上述配置中,jasypt.encryptor.password是一定要配置的,这就是加解密的密钥,默认的加密算法是PBEWITHHMACSHA512ANDAES_256;另外jasypt.encryptor.property.prefixjasypt.encryptor.property.suffix分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是ENC(,密文后缀是);默认情况下,我们的密文如下所示:

spring:
  datasource:
    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
复制代码

还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;

实现自定义加解密

如果jasypt提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:


@Bean("jasyptStringEncryptor")
  public StringEncryptor jasyptStringEncryptor(){
    return new StringEncryptor() {
      @Override
      public String encrypt(String s) {
        // TODO 加密
        return null;
      }
​
      @Override
      public String decrypt(String s) {
        // TODO 解密
        return null;
      }
    };
  }
复制代码

注意我们的BeanName,默认情况下一定要设置成jasyptStringEncryptor,否则不会生效,如果想要改变这个BeanName,也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName

jasypt:
  encryptor:
    # 自定义StringEncryptor的BeanName
    bean: ""
复制代码

如何生成密文

生成密文的这个操作还是要自个儿通过调用StringEncryptor实例来加密生成,可以参考以下代码:

@Component
public class StringEncryptorUtil{
  @Autowired
  private StringEncryptor encryptor;
  
  public void encrypt(){
    String result = encryptor.encrypt("123456");
    System.out.println(result);
  }
}
复制代码

毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可;文章来源地址https://www.toymoban.com/news/detail-533306.html

到了这里,关于Springboot实现对配置文件中的明文密码加密的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 思科模拟器:交换机&路由器 密码设置(明文&密文&加密明文)

    环境:思科模拟器 一个路由器一个交换机 两者密码配置一样!!!!!!!!!!! 两者密码配置一样!!!!!!!!!!! 两者密码配置一样!!!!!!!!!!! 均为 console 口密码 还有 进入特权模式密码 这是没有配置密码的直接进入 进入特权密码配置 全局模式

    2024年02月07日
    浏览(57)
  • 禁用AMQP配置中的明文身份验证机制(包含Springboot结果测试+踩坑)

    最近公司内网部署RabbitMQ服务器,部署上测试后安全部门扫描到MQ服务器有一个漏洞【禁用AMQP配置中的明文身份验证机制】。本文记录解决该漏洞的过程和方法,以及遇到的问题 主要步骤为: 在服务器生成所需的两对密钥和CA证书,然后将CA、服务器公私钥放到Rabbit目录下并

    2024年02月14日
    浏览(35)
  • jmeter根据公钥base64对明文密码进行rsa加密

    在登录时遇到加密是比较常见的场景,也为安全一般是从服务器动态获取公钥,再根据公钥对密码明文进行rsa加密,做为密码再进行登录使用。所以需要对输入的密码进行处理,即在登录接口中添加前置JSR223进行处理,如下图所示: 所使用的都是java标准库里的函数,所以可

    2024年01月21日
    浏览(57)
  • 使用 OpenSSL 工具撰写 Bash 脚本进行密码明文的加密与解密

    Written By: Xinyao Tian 本文档描述了使用 OpenSSL 工具在 Bash 脚本中对密码进行加密和解密的简单方式。 使用 Base64 算法进行密码的加密 脚本名称为 encryptPasswd.sh , 脚本内容如下: 使用 Base64 算法进行密码的解密 脚本名称为 decryptPasswd.sh , 脚本内容如下: 使用方法 检视目录中的脚本

    2024年02月06日
    浏览(148)
  • Nacos 中的配置文件如何实现加密传输

    小伙伴们知道,Spring Cloud Config 很早就提供了配置文件的加解密功能,并且支持对称加密和非对称加密两种不同的模式。Nacos 作为分布式配置中心+服务注册中心的合体,在配置文件加密这块一直差点意思,不过好在,如果你使用的 Nacos 版本大于 2.0.4 这个版本,那么现在也可

    2024年02月12日
    浏览(32)
  • 对SpringBoot项目配置文件进行加密

    1.SpringBoot项目pom添加maven依赖  2.使用单元测试生成加密数据 设置配置文件(bootstrap.yml或者application.yml) password:加密的盐 algorithm:加密算法,这里使用 PBEWithMD5AndDES 运行单元测试文件 执行结果:    3.在SpringBoot项目中使用 配置mysql的jdbc,使用“ENC(密文)”配置密码,其他配置

    2024年02月09日
    浏览(45)
  • SpringBoot 配置文件这样加密,才足够安全!

    在使用Springboot时,通常很多信息都是在application.yml中直接明文配置的,比如数据库链接信息,redis链接信息等等。但是这样是不安全的。 所以需要对敏感数据进行加密,这样防止密码泄露 Jasypt这个库为我们解决了这个问题,实现了springboot配置的自定加密加密 源码对应地址:

    2023年04月16日
    浏览(63)
  • HDU密码学-SM4(Java实现,仅针对输入为16进制128bit的明文和密钥)

    1、熟悉分组密码的基本框架。 2、掌握SM4密码的加解密原理。 3、用合适的编程语言实现SM4密码程序并输出结果。 SM4算法是我国商用密码标准,其前身是SMS4算法。SM4算法是一个分组加密算法,分组长度和密钥长度均128bit。SM4算法使用32轮的非线性迭代结构。SM4在最后一轮非线

    2024年02月16日
    浏览(79)
  • springboot 密码加密

    密码进行加密存储能够一定程度保护密码泄露,一般能做到一下两点,就能够满足大部分应用的密码保护要求。 对密码进行单向加密,明文加密后不可逆。 使用技术手段实现加密后的密码能够与明文进行比较。 spring-security-crypto模块提供了对密码的加密支持,引入spring-secu

    2024年02月15日
    浏览(37)
  • SpringBoot项目application配置文件数据库密码上传git暴露问题解决方案

    项目中含有配置文件,配置文件中含有数据库的用户名和密码,上传git直接对外网开放。那后果会怎样可想而知。 jasypt(Java Simplified Encryption)是一个简化的开源 Java 加密工具库 输出 使用很简单,只需要引入jasypt-spring-boot-starter依赖,然后将配置文件中的明文换成\\\"ENC(密文即可)“

    2024年04月14日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包