赞
踩
对于一些单体项目而言,在没有使用SpringCloud的情况下,配置文件中包含着大量的敏感信息,比如数据库的账号密码、API服务的秘钥等等,如果这些信息泄露出去将会对企业的资产产生重大威胁。因此,对配置文件中的敏感信息加密是一件极其必要的事。
Jasypt是一个易于使用的Java库,专门用于加密和解密配置文件中的敏感信息,如数据库凭据、API密钥等。它提供了一种安全的方式来存储和管理配置文件中的敏感数据,而不是以明文形式暴露。
Jasypt支持多种加密算法,如DES、AES、Blowfish等,以及基于口令的加密算法(PBE)。它还提供了灵活的配置选项,允许开发人员自定义加密算法、密码、初始化向量等。
Jasypt的主要特点包括:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>
jasypt:
encryptor:
algorithm: PBEWITHHMACSHA512ANDAES_256
iv-generator-classname: org.jasypt.iv.RandomIvGenerator
password: secret_key # 这里的秘钥一般不会写在配置文件中,为了方便理解暂时放在这里
property:
prefix: ENC(
suffix: )
algorithm
: jasypt的加密算法,这里指定加密算法为一种结合了SHA-512 HMAC和AES-256加密算法的强加密算法。iv-generator-classname
: 指定用于生成初始化向量的类。RandomIvGenerator
是一个随机生成初始化向量的生成器,它适用于需要初始化向量的加密算法,如AES。每次加密时,它都会生成一个新的随机初始化向量,增加了解密的难度。password
: 指定用于加密和解密的密码。property.prefix
: 指定加密值的前缀。当Jasypt处理配置文件时,它会查找以这个前缀开始的属性值,并尝试使用配置的加密算法进行解密。默认值是ENC(
,也可以进行修改。property.suffix
: 指定加密值的后缀。与prefix
类似,Jasypt会查找以这个后缀结束的属性值进行解密。默认值是)
。
更多配置属性:
Key 描述 Required Default Value jasypt.encryptor.password 用于加密和解密的密码。这个密码非常重要,因为它用于生成加密密钥和解密密文。 True - jasypt.encryptor.algorithm 指定加密算法。默认值是 PBEWITHHMACSHA512ANDAES_256
,这是一种结合了SHA-512 HMAC和AES-256加密算法的强加密算法。False PBEWITHHMACSHA512ANDAES_256 jasypt.encryptor.key-obtention-iterations 指定获取加密密钥的迭代次数。这个值越大,获取密钥的过程越慢,但越安全。 False 1000 jasypt.encryptor.pool-size 指定加密器池的大小。如果设置为大于1的值,Jasypt将使用一个线程池来并行处理加密和解密请求。 False 1 jasypt.encryptor.provider-name 指定加密提供者的名称。默认值是 SunJCE
,这是Java加密扩展(JCE)的Sun Microsystems实现。False SunJCE jasypt.encryptor.provider-class-name 指定加密提供者的类名。如果指定了这个属性,Jasypt将使用这个类作为加密提供者,而不是默认的 SunJCE
。False null jasypt.encryptor.salt-generator-classname 指定用于生成盐值的类。默认值是 org.jasypt.salt.RandomSaltGenerator
,它生成一个随机的盐值。False org.jasypt.salt.RandomSaltGenerator jasypt.encryptor.iv-generator-classname 指定用于生成初始化向量的类。默认值是 org.jasypt.iv.RandomIvGenerator
,它生成一个随机的初始化向量。False org.jasypt.iv.RandomIvGenerator jasypt.encryptor.string-output-type 指定加密后的字符串输出类型。默认值是 base64
,这意味着加密后的值将转换为Base64编码的字符串。False base64 jasypt.encryptor.proxy-property-sources 指定是否代理属性源。如果设置为 true
,Jasypt将代理所有的属性源,以便在获取属性值时进行解密。False false jasypt.encryptor.skip-property-sources 指定要跳过的属性源列表。如果某些属性源不包含敏感信息,或者您不想对它们进行加密,可以将它们添加到这个列表中。 False empty list
先看一下我们现有的配置文件信息,我们要加密的信息是数据库url
、username
和password
这三个属性:
spring:
application:
name: server
datasource:
url: jdbc:mysql://localhost:3306/study_db?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&serverTimezone=Asia/Shanghai
driver-class-name: com.mysql.cj.jdbc.Driver
username: root
password: 123456
@Autowired
private StringEncryptor encryptor;
@Test
public void encrypt() {
String url = encryptor.encrypt("jdbc:mysql://localhost:3306/study_db?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&serverTimezone=Asia/Shanghai");
String name = encryptor.encrypt("root");
String password = encryptor.encrypt("123456");
System.out.println("database url: " + url);
System.out.println("database username: " + name);
System.out.println("database password: " + password);
}
spring:
application:
name: server
datasource:
url: ENC(z3xy2E55GmC126NvY1Mb3uprgXGjyaOWS4J3y72r1FFeTSno3m5ljGV22TqyYr85bptOY7drFHzrxaUfqbmetNWCsFY7i4vu5ig7ow0gk6ObLK/dVI4MRePxM5CGVzQ3XUWSJrUbLU1o+13g2erP2yV4uqeH6oVZH/FrBDQ6YfeeHmpl73emqMoGFFBnWdMvF1tzJxYMLcwthGBoaRopyA==)
driver-class-name: com.mysql.cj.jdbc.Driver
username: ENC(9oaZel6CzsIM/ws23QcX2ijvZvn8A5HBYJM4PDUvwFSqmCO26MJKKshhPE5Hi+BU)
password: ENC(b5FqkU7mOSb0esB1qLXveDBalnUz7OtBxp0By/Q1sd5yk0cgOuJqIV2zSmqHA5mz)
再次运行和测试:
测试的接口是我随便写的一个接口,实现的功能就是根据用户名查询数据库中的一个用户:
@Operation(summary = "你好") @GetMapping("/hello") public Result<UserInfo> test2(String username) { List<UserInfo> userList = userInfoService.lambdaQuery().like(UserInfo::getUserName, username).list(); return Result.success(userList.get(0)); }
- 1
- 2
- 3
- 4
- 5
- 6
可以看到成功查询到了用户信息,说明数据库连接成功。
但这种方案有个问题,秘钥写在配置文件当中,一旦代码泄露,那别人就可以使用秘钥解密我们的密文,因此可以采取方案二。
官方文档:https://github.com/ulisesbocchio/jasypt-spring-boot#maven-plugin
<build>
<plugins>
<plugin>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-maven-plugin</artifactId>
<version>3.0.5</version>
<configuration>
<path>file:src/main/resources/application.yaml</path>
</configuration>
</plugin>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
使用此插件时,提供加密密码的最简单方法是通过系统属性,即 -Djasypt.encryptor.password=“密码”。
默认情况下,插件会在
./src/main/resources
下的Spring Boot配置文件application. properties
中加密配置,但我们用的一般都是yaml文件,因此修改一下即可。记得一定要加
spring-boot-maven-plugin
依赖(ps:本人之前cv了依赖代码忘记cv构建代码导致一直报错声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/945651
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。