SpringBoot使用Jasypt对配置文件加密、数据库密码加密-Toy模板网

这篇具有很好参考价值的文章主要介绍了SpringBoot使用Jasypt对配置文件加密、数据库密码加密。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Dmo源码请点这里！

在做数据库敏感信息保护时，Web应用配置的账号密码，在配置文件应加密存储，禁止使用明文账号密码，这时我们可以使用Jasypt加密来实现需求。

一、Jasypt简介

Jasypt是一个Java简易加密库，用于加密配置文件中的敏感信息，如数据库密码。jasypt库与springboot集成，在实际开发中非常方便。

1、Jasypt Spring Boot 为 spring boot 应用程序中的属性源提供加密支持，出于安全考虑，Spring boot 配置文件中的敏感信息通常需要对它进行加密/脱敏处理，尽量不使用明文，要实现这一点，办法有很多，自己手动对敏感信息进行加解密也是可以的。

2、在程序界有需求就有人奉献，Jasypt 开源安全框架就是专门用于处理 Spring boot 属性加密的，在配置文件中使用特定格式直接配置密文，然后应用启动的时候，Jasypt 会自动将密码解密成明文供程序使用。

1）Jasypt 加密属性配置格式：

spring:
  datasource:
    password: ENC(o6L5p3ymfSMiscyR9CPio4NfGPg+W9==)

ENC() 就是它的标识，程序启动的时候，会自动解密其中的内容，如果解密失败，则会报错。
2）所以获取这些属性值和平时没有区别，直接使用如 @Value(“${spring.datasource.password}”) 获取即可，取值并不需要特殊处理。

3、jasypt 同一个密钥（secretKey）对同一个内容执行加密，每次生成的密文都是不一样的，但是根据根据这些密文解密成原内容都是可以的.

4、Jasypt 官方使用文档：http://www.jasypt.org/
GitHub地址：https://github.com/ulisesbocchio/jasypt-spring-boot。

二、集成方法

官网上推荐的集成到SpringBoot项目中，有3种方法分别是：

如果使用@SpringBootApplication或@EnableAutoConfiguration，则仅需要添加jasypt-spring-boot-starter启动器jar到您的类路径中即可，它自动会在整个 Spring 环境中启用可加密属性。
添加jasypt-spring-boot到您的类路径并添加@EnableEncryptableProperties到您的主配置类以在整个 Spring 环境中启用可加密属性。
添加jasypt-spring-boot到您的类路径并使用@EncrytablePropertySource注解声明单独的可加密属性源。

2.1 方式一

在Springboot应用程序中，如果使用了@SpringBootApplication 或者@EnableAutoConfiguration注解，则可以在pom文件中添加jasypt-spring-boot-starter依赖，然后就可以在整个Spring环境中使用jasypt对属性进行加解密操作(属性包括：系统属性、环境属性、命令行参数、application.properties、application-*.properties、yml属性以及任何其他属性源)。

<dependency>
	<groupId>com.github.ulisesbocchio</groupId>
	<artifactId>jasypt-spring-boot-starter</artifactId>
    <!-- JDK9+用3.x版本，JDK8用2.x版本 -->
    <!-- 仓库：https://repo1.maven.org/maven2/com/github/ulisesbocchio/jasypt-spring-boot-starter/ -->
	<version>2.1.2</version>
</dependency>

2.2 方式二

如果项目中没有使用到@SpringBootApplication 或者@EnableAutoConfiguration 自动配置注解，则可以通过以下两个步骤完成对Jasypt的集成。

步骤一：pom文件引入jasypt-spring-boot依赖

<dependency>
	<groupId>com.github.ulisesbocchio</groupId>
	<artifactId>jasypt-spring-boot</artifactId>
    <!-- JDK9+用3.x版本，JDK8用2.x版本 -->
    <!-- 仓库：https://repo1.maven.org/maven2/com/github/ulisesbocchio/jasypt-spring-boot-starter/ -->
	<version>2.1.2</version>
</dependency>

步骤二：在配置类中，添加@EnableEncryptableProperties注解，示例如下：

import com.ulisesbocchio.jasyptspringboot.annotation.EnableEncryptableProperties;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.SpringApplication;

@SpringBootApplication
@EnableEncryptableProperties
public class MySpringBootApp {
    public static void main(String[] args) {
        SpringApplication.run(MySpringBootApp.class, args);
    }
}

通过这种方式，你的项目一样可以集成Jasypt，并且可加密属性也可以在整个Spring环境中启用属性包括：系统属性、环境属性、命令行参数、application.properties、application-*.properties、yml属性以及任何其他属性源)。

2.3 方式三

如果项目中没有使用到@SpringBootApplication 或者@EnableAutoConfiguration 自动配置注解，又不想在整个Spring环境中启用加密的属性，则可以使用该种方式，具体步骤如下：

步骤一：pom文件引入jasypt-spring-boot依赖

<dependency>
	<groupId>com.github.ulisesbocchio</groupId>
	<artifactId>jasypt-spring-boot</artifactId>
    <!-- JDK9+用3.x版本，JDK8用2.x版本 -->
    <!-- 仓库：https://repo1.maven.org/maven2/com/github/ulisesbocchio/jasypt-spring-boot-starter/ -->
	<version>2.1.2</version>
</dependency>

步骤二、在配置类中，使用@EncryptablePropertySource注解添加任意数量想要生效加密属性的配置文件路径，与Spring中@PropertySource注解的使用类似，示例如下：

@Configuration
@EncryptablePropertySource(name = "EncryptedProperties", value = "classpath:encrypted.properties")
public class MyApplication {
    ...
}

同时，还可以使用@EncryptablePropertySources 注解对@EncryptablePropertySource配置进行分组，示例如下：

@Configuration
@EncryptablePropertySources({@EncryptablePropertySource("classpath:encrypted.properties"),
                             @EncryptablePropertySource("classpath:encrypted2.properties")})
public class MyApplication {
    ...
}

说明：从Jasypt 1.8版本开始，@EncryptablePropertySource注解支持配置YAML文件。

三、Springboot整合Jasypt实战

Dmo源码请点这里！

3.1 引入依赖

本Demo使用JDK8，所有依赖2.1.2版本

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.3.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>2.1.2</version>
        </dependency>
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

3.2 准备加密后的数据

    @Test
    public void test() {
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();

        // 加密秘钥（盐值）
        textEncryptor.setPassword("jasyptSalt123");

        // 对账号加密
        String encUsername = textEncryptor.encrypt("zhangsan");
        System.out.println(encUsername);

        // 对密码加密
        String encPassword = textEncryptor.encrypt("abc123@test");
        System.out.println(encPassword);
    }

3.3 配置文件使用加密数据

spring:
  datasource:
    # 明文账号密码
    username: zhangsan
    password: abc123@test

    # 加密后的账号密码
    encUsername: ENC(CsXfWspTjwzJ99zeeXhNAk7Jk0/XbeTp)
    encPassword: ENC(SZqTzbJYCOCErUYWDHdSrXC1Mb/wNYSB)

# jasypt加密秘钥，需要从配置文件中删除，改为在项目启动命令上配置环境参数
jasypt:
  encryptor:
    password: jasyptSalt123

3.4 直接获取解密数据

@Component
@ConfigurationProperties(prefix = "spring.datasource")
public class SamProperties {
    private String username;
    private String password;

    // 配置注入前会自动解密
    private String encUsername;
    private String encPassword;
}

四、拓展

4.1 关于加解密秘钥如何存储

如果秘钥写在代码或者配置文件，一旦代码泄露，那别人就可以使用秘钥解密我们的密文，这样对敏感信息加密的作用就不存在了，因此，秘钥不能以明文形式存储在代码或者配置文件中，应该在应用部署时通过变量传入。

java -Djasypt.encryptor.password=秘钥 -jar xxx.jar

或：

java -jar xxx.jar --jasypt.encryptor.password=秘钥

4.2 使用jasypt3.0启动时报

使用jasypt3.0启动时报：Failed to bind properties under ‘xxx.xxx.xxx’ to java.lang.String

官方描述，3.0后默认支持的算法为PBEWITHHMACSHA512ANDAES_256 ，该种加密方式由sha512 加 AES 高级加密组成，需要JDK1.9以上支持或者添加JCE(Java Cryptography Extension无限强度权限策略文件)支持，否则运行会出现错误。

4.2.1 解决方案1，降低版本
降低jasypt的版本 - 使用2.x的版本

4.2.2 解决方案2，修改算法
将加密算法替换成PBEWithMD5AndDES 算法，并配置iv-generator-classname: 为org.jasypt.iv.NoIvGenerator值文章来源地址https://www.toymoban.com/news/detail-861396.html

到了这里，关于SpringBoot使用Jasypt对配置文件加密、数据库密码加密的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！