本文由 简悦 SimpRead 转码, 原文地址 blog.csdn.net
一. 背景
当我们将项目部署到服务器上时,一般会在 jar 包的同级目录下加上 application.yml 配置文件,这样可以在不重新换包的情况下修改配置。
一般会将数据库连接、Redis 连接等放到配置文件中。
例如配置数据库连接:
spring:
servlet:
multipart:
max-file-size: 10MB # 文件大小限制
max-request-size: 100MB # 请求大小限制
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
username: root
password: 123456
这种方式存在安全隐患,如果配置文件泄露,就会造成数据库密码泄露。
所以需要将配置文件中数据库密码等敏感数据加密,然后在使用的时候解密后再使用。
推荐使用第三种方式。
二. 方法介绍
本文介绍三种方式。
1. 解密方法嵌入到业务逻辑代码中
例如我可以在 service 或者正常的业务代码中去加密后再使用。
但是这种和业务耦合度高,不推荐。
2. 使用 jasypt
2.1 第一步:pom 引入依赖
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>2.1.2</version>
</dependency>
2.2 第二步:application.yml 中增加 jasypt 配置
配置文件里配置该算法加解密的盐值。jaspypt 算法不需要我们自己实现,该第三方库已经实现了。我们仅需要配置这个盐值即可。
# 如果密文加盐,需要配置盐值
jasypt:
encryptor:
password: ueiej@8e8r
2.3 第三步:application.yml 中密文替代明文。
配置文件里将加密后得到的密文用ENC(密文)方式配置即可。项目启动的时候,程序会自动去解析配置文件中值为ENC(密文)格式的配置,然后解密后加载程序。
数据的加密可以自己实现工具类来加密,或者一些在线网站提供 jasypt 的加解密,得到加密后的密文后,将密文替换明文即可。
例如:
password: ENC(UBHpSHxjL2F8ZiNTJUciZw==)
到此就全部结束了。项目启动的时候程序会自动去解密,并注入到实际的 springApplication 中。
优缺点
优点是引入第三方库,简单匹配一下即可,业务代码不需要任何改动。
缺点是把 jasypt 的盐放到配置文件中,那实际上你的加密数据也跟裸奔一样了,别人一样可以用这个 jasypt 解密得到你的数据库密码等加密数据。
3. 使用自定义加解密算法并自动装配
3.1 第一步:确定加解密规则,编写工具类
我们可以自定义加解密算法来实现数据的加解密,这里采用 AES 算法。工具类的代码省略。
3.2 第二步:实现 EnvironmentPostProcessor
Spring Boot 没有为加密属性值提供任何内置支持。 EnvironmentPostProcessor 接口允许你在应用程序启动前操作 Environment,可以用来修改 Spring Environment 中包含的值。实现接口,并在接口里遍历所有的配置项,将指定的配置项解密后重新写入 Environment。
示例:
public class DecryptEnvironmentPostProcessor implements EnvironmentPostProcessor {
@Override
public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
Properties props = new Properties(); // 临时存储需要替换的配置
// 假设加密密码前缀为 "ENC(",后缀为 ")"
MutablePropertySources propertySources = environment.getPropertySources();
for (PropertySource<?> propertySource : propertySources) {
if (propertySource instanceof EnumerablePropertySource) {
EnumerablePropertySource<?> enumerablePropertySource = (EnumerablePropertySource<?>) propertySource;
String[] propertyNames = enumerablePropertySource.getPropertyNames();
// 遍历所有配置key:value
for (String propertyName : propertyNames) {
String propertyVal = environment.getProperty(propertyName);
// 根据自己写的规则来解析那些配置是需要解密的
if (propertyVal != null && propertyVal.startsWith("ENC(") && propertyVal.endsWith(")")) {
// 解析得到加密的数据
String encryptedValue = propertyVal.substring(4, propertyVal.length() - 1);
// 调用自定义工具类解密
String decryptedValue = AESUtil.decryptEcbMode(encryptedValue);
// 保存需要替换的配置
props.put(propertyName, decryptedValue);
}
}
}
}
// 添加解密后的属性到环境中
if (!props.isEmpty()) {
PropertiesPropertySource pps = new PropertiesPropertySource("decryptedProperties", props);
environment.getPropertySources().addFirst(pps);
}
}
}
3.3 自动装配
在resources/META-INF/spring.factories中注册EnvironmentPostProcessor。
org.springframework.boot.env.EnvironmentPostProcessor=\
your.package.DecryptEnvironmentPostProcessor
这里把自己实现的. DecryptEnvironmentPostProcesso 的全路径放进去即可。
没有 META-INF/spring.factories 文件的,直接建好目录新增这个文件就行。
3.4 配置文件密文替换明文
使用自定义的工具类将密码加密,得到密文。用密文替换配置中的密文。
这里我依然使用ENC(密文)的格式去配置,这个规则可以自己定义,只要修改 DecryptEnvironmentPostProcessor 的方法中的匹配逻辑即可。
例如:
spring:
datasource:
password: ENC(你的加密密码)
注意事项
你可以写死你的加密的配置项,然后在postProcessEnvironme()方法里找到对应的配置项解密。或者你可以将加密的所有数据都用ENC(加密的数据)表示,然后在postProcessEnvironme方法里匹配后解密即可。当然这里的编写规则你可以自己定义,只要能匹配出来即可。
例如我的配置如下:
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
username: root
password: ENC(UBHpSHxjL2F8ZiNTJUciZw==)
其中数据库的密码就是 AES 算法解密后的结果。
4. 总结
建议用第三种方式,因为这种加密算法可以自定义,并且不需要把加解密的秘钥放到配置文件里,即便有人拿到配置文件,也无法得到真实的密码,更加的安全。
而且第三种方式对业务代码没有侵入,也不需要特定引入第三方库和配置其他东西。